红帽全球峰会8.2. 一次性密码(OTP)策略
红帽构建的 Keycloak 有几个策略用于设置 FreeOTP 或 Google Authenticator 一次性密码生成器。
流程
- 点菜单中的 Authentication。
- 点 Policy 选项卡。
- 点 OTP Policy 选项卡。
OTP 策略
Red Hat build of Keycloak 根据 OTP Policy 选项卡中配置的信息,在 OTP 设置页面中生成一个 QR 代码。FreeOTP 和 Google Authenticator 在配置 OTP 时扫描 QR 代码。
8.2.1. 基于时间或基于计数器的一次性密码
红帽为 OTP 生成器的 Keycloak 提供的算法基于时间和基于计数器的算法。
使用基于时间的一次性密码(TOTP),令牌生成器将哈希当前时间和共享 secret。服务器通过将时间内的哈希值与提交的值进行比较来验证 OTP。TOTP 在短时间内有效。
使用基于计数器的一次性密码(HOTP),红帽构建的 Keycloak 使用共享计数器而不是当前的时间。红帽构建的 Keycloak 服务器会在每次成功 OTP 登录时递增计数器。成功登录后有效的 OTP 已更改。
TOTP 更安全,因为可匹配的 OTP 在短时间内有效,而 OTPP 的 OTP 在非确定时间内有效。与 TOTP 相比,PP 更为友好,因为没有时间限制来进入 OTP。
当服务器每次递增计数器时,ChatP 都需要一个数据库更新。在这个版本中,在负载过重的过程中,身份验证服务器上的性能排空。为提高效率,TOTP 不会记住使用的密码,因此无需执行数据库更新。缺陷是可以在有效时间间隔中重复使用 TOTP。
8.2.2. TOTP 配置选项
8.2.2.1. OTP 哈希算法
默认算法是 SHA1。另一个更安全的选项是 SHA256 和 SHA512。
8.2.2.2. 位数
OTP 的长度。简短的 OTP 是用户友好、易于键入的、易于记住的。OTP 比更短的 OTP 更安全。
8.2.2.3. 查看窗口
服务器尝试与哈希匹配的间隔数。如果 TOTP 生成器或身份验证服务器的时钟不同步,则 Red Hat build of Keycloak 中存在这个选项。默认值为 1。例如,如果令牌的时间间隔为 30 秒,则默认值 1 表示它将接受 90 秒窗口中的有效令牌(间隔 30 秒 + 查找前 30 秒 + 在 30 秒后面)。每次递增此值都会将有效窗口增加到 60 秒(大约有 30 秒 + 查找 30 秒)。
8.2.2.4. OTP 令牌周期
服务器与哈希匹配的时间间隔(以秒为单位)。每次间隔通过时,令牌生成器都会生成一个 TOTP。
8.2.2.5. 可重复使用的代码
确定在身份验证过程中是否可以重复使用 OTP 令牌,或者用户需要等待下一个令牌。用户默认无法重复使用这些令牌,管理员需要明确指定这些令牌可以被重复使用。
8.2.3. slirpP 配置选项
8.2.3.1. OTP 哈希算法
默认算法是 SHA1。另一个更安全的选项是 SHA256 和 SHA512。
8.2.3.2. 位数
OTP 的长度。简短 OTP 是用户友好、易于键入的、易于记住的。OTP 比更短的 OTP 更安全。
8.2.3.3. 查看窗口
服务器尝试与哈希匹配的前和以下间隔数。如果 TOTP 生成器或身份验证服务器的时钟不同步,则 Red Hat build of Keycloak 中存在这个选项。默认值为 1。当用户的计数器在服务器前面时,红帽构建的 Keycloak 中存在这个选项。
8.2.3.4. 初始计数器
初始计数器的值。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}