Google のトークン認証システム、オープンソースで公開中

　 90 曰く、

　米国の Gmail アカウント向けに Google がテストしている、Android 携帯や BlackBerry 端末などがセキュリティトークンとして使える新しい二要素認証システム "Google Authenticator" の実装がオープンソースソフトウェアとして Google Code で公開されている (google-authenticator のページ) 。

　現在は Android 用、BlackBerry OS 用、PAM 用モジュールの 3 つのソフトウェアが公開されており、RFC 4226 にあるHMAC-Based One-time Password (HOTP) と現在ドラフト段階にある Time-based One-time Password (TOTP) の 2 種類のプロトコルに対応しているそうだ。Google のサービスとしては現在のところ米国内で希望者が Google サービスへログインする場合のみに使われているが、PAM のモジュールを自分でダウンロードして好みの Linux マシンなどに組み込むこともできる。

　利用者は端末にアプリをダウンロードし、秘密鍵を設定し、PAM では緊急用スクラッチコードも記録する。実際のログインには端末に使い捨てのパスワード (One Time Password: OTP) が表示され、通常のパスワードに加えこの OTP を入力してログインする。リプレイ攻撃を防ぐことができるので、証明書を作る/使うのが面倒なとき、あるいはワンタイムパスワードが使いたいなどの場合に役立つかもしれない。すでに Linux 上での SSH や端末ログインに適用した例があるようだ (MNX Solutions の記事, それ、Gentooだとどうなる？の記事) 。

　スラッシュドットのコメントを読む | セキュリティ | Google | オープンソース