2段階認証アプリWinAuthのインストール設定&Webでの認証例

2要素認証用のアプリ「WinAuth」はWindows PCに対応したワンタイムパスワード/OTPのソフトウエアトークンです。

WinAuthの特徴は

  • Windows PCのみに対応
  • オープンソース

 

WinAuth は、時間ベースのワンタイムパスワード(TOTP) およびカウンターベースのワンタイムパスワード(HOTP)の両方の方式に対応しています

ワンタイムパスワードのTOTP方式に対応のサービスとしては

  • Amazon Web Services(AWS Multi-Factor Authentication)
  • Dropbox
  • Evernote
  • Facebook
  • GitHub
  • Googleアカウント
  • Google Apps for Work
  • IIJ Omnibusサービス
  • IIJセキュアMXサービス
  • Microsoftアカウント
  • Slack
  • 仮想通貨のサイト
  • インターネットバンキング/金融機関のサイト
  • Powered BLUE 870/OTP  (TOTPモード及びHOTPに対応)

などです。

WinAuth はこれらのサービスでのワンタイムパスワードの認証に利用できます。

https://www.mubit.co.jp/sub/products/blue/img2/otp-02.png

設定のフローは

1)WinAuth のインストール設定

2)ワンタイムパスワード対応のWebサーバー側のコード(共有鍵)の読み取り

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE OTP  はワンタイムパスワード認証機能付属のWebサイトを自社運用する際にWinAuth を利用した2要素認証でアクセスする場合をサンプルケースとして説明します。

 

3) Webサーバーへのアクセス

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE OTP は多要素認証(IDパスワード認証・ワンタイムパスワード認証・SSLクライアント認証)のWebサイトを自社で簡単に構築・運用出来る仮想アプライアンスサーバーです。

ワンタイムパスワード認証の場合には、https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif  Powered BLUE OTP  へ事前にご利用ユーザーのアカウントを作成しておく必要があります。

 

WinAuth はオープンソースとして公開されており、GitHubからダウンロード出来ます

ダウンロード先

https://github.com/winauth/winauth

例 安定版 / Stable Version WinAuth-3.5.1.zip をダウンロードします

# md5sum     WinAuth-3.5.1.zip

9393c999d1412c0d28cccea0f9cb95c3

ファイルの展開

設定

add をクリック

ターゲットWebの共有鍵

ブラウザでターゲットのPowered BLUE 870/OTP 上の Webサイトへアクセス

  • 例 test-opt.mubit.com
  • アカウント suzuki

ターゲットのWebサイトのユーザーのコード(共有鍵)を表示させます

コード(共有鍵)はユーザー毎に異なります

例 「LIX …..   ZDB」

 

スマホへの登録 (カメラ対応のソフトの場合)

https://www.mubit.co.jp/sub/products/img2/qr-1.png

 

WinAuthへの登録

1.  Name  サービス名を入力(自分で識別できる名称)

例 test-opt.mubit.com : suzuki

2.  共有鍵のコード入力

例 「LIX …..   ZDB」

3.時間ベース もしくは カウンターベース を選択

サーバー側の仕様に合わせます

4.Verify Authenticator を押す

5.現在のワンタイムパスワードが表示されます

 

パスワードの設定

WinAuth の起動時にパスワードプロテクトを設定可能です

☐ Protect with my own password にチェックを入れて、パスワードを設定します

 

暗号化を行ない動作をこのコンピュータに限定出来ます

☐ Encrypt to only be useable this computer

 

このコンピュータの現在のユーザーのみに動作を限定出来ます

☐ And only by the current user on this computer

 

YubiKey でロック可能です

☐ Lock with a Yubikey

 

以上で設定は終了です

 

WinAuth を起動  /  パスワードを入力します ( パスワードプロテクトの場合 )

パスワードプロテクト機能は、第3者が勝手に当該PCなどのWinAuthを起動出来ないようにすることで、セキュリティレベルを高める事が出来ます

ワンタイムパスワードの表示

右側の   をクリックするとワンタイムパスワードが表示されます

 

運用例

ワンタイムパスワード認証のWebサイトへアクセス

ブラウザで Powered BLUE 870/OTP 上の Webサイト

  • 例 test-opt.mubit.com へアクセス

ワンタイムパスワードを表示

2要素認証の「アカウント」と「ワンタイムパスワード」と「ユーザーパスワード」を入力

Webサイトへの2要素認証が通った場合、ターゲットのWebページが表示されます

 

標準的なWebサイトの表示 例

 

WordPressへの適用  例

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2019/06/blog-1.png

 

Web Mail / Roundcubeの適用 例

https://www.mubit.co.jp/sub/products/blue/img2/roundcube-skin20.png

 

 

◉ 新規のWebサイトへワンタイムパスワード認証設定

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE 870/OTP のでは、ワンタイムパスワード対応の自社Webサイトを作成&運用ができます

  • 任意のWeb作成ツールで作成のWebページ
  • WordPress対応のWebページ

https://www.mubit.co.jp/sub/products/blue/img2/otp-04.png

 

 

 

既存のWebサイトへのワンタイムパスワード認証経由でアクセス

また既存のWebサイトには、ワンタイムパスワード認証のリバースプロキシ経由でのアクセスができます。既存のWebサイトの「認証機能が弱い場合」や、既存のWebサイト側の「認証機能がない場合」でも導入が可能です。

  • ワンタイムパスワード認証のリバースプロキシ経由で指定Webサイトへのリダイレクト

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE OTP-Rev のでは、ワンタイムパスワード対応のリバースプロキシ経由で自社Webサイトへアクセスさせる運用ができます。

https://www.mubit.co.jp/sub/products/blue/img2/otp-rev-8.png

 

 

時間を合わせる

なお利用時には、利用者側のPCやモバイル端末とサーバーの時間と日付けを正確に合わせておく必要があります。

https://www.mubit.co.jp/pb-blog/wp-content/uploads/2018/07/otp-time-1.png

Webサーバーと利用者側のPCやモバイル端末の時間が異なると、生成されるワンタイムパスワードの値も異なるために、正常なアクセスが出来ません。

 

 

既存のWebへ多要素認証経由でアクセス

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Powered BLUE Web Station は、ワンタイムパスワード認証 & SSLクライアント認証およびリバースプロキシの機能を有したサーバーです。

  • ワンタイムパスワード認証
  • SSLクライアント認証
  • リバースプロキシ

の構築・運用を1台で行なうことが出来ます。多要素認証経由でさらに高い安全性を確保したい場合に有効です。

https://www.mubit.co.jp/sub/products/blue/img2/web-station-rev-2.png

 

 

WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存の社内WebサーバーをWAN側に移設する場合でも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

 

 

Microsoft Authenticatorの場合

無償で利用できるマイクロソフト社のソフトウエア・トークンです

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif Microsoft Authenticatorの設定例

 

 

デモサイト

Powered BLUE のデモサイトを用意しています

https://www.mubit.co.jp/sub/products/blue/img2/saml-demo-login.png

各種操作やワンタイムパスワード認証、SSLクライアント認証、SAML認証やリバースプロキシなどの動作を確認することが出来ます

https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif デモサイト

 

 

終わりに

ワンタイムパスワード認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの https://www.mubit.co.jp/sub/products/blue/img2/arrow-finger.gif お問い合わせフォーム からご連絡ください。