Kerberos för one time password

Säker inloggning med hjälp av fysiska identitetsbärare har hittills nästan uteslutande involverat dyra och komplexa PKI-kort. Genom att priset på enklare one time password (OTP)-nycklar (till exempel Yubikey, Secureid eller Nagraid) har sjunkit, har det blivit möjligt att införa 2-faktor authenticering till betydligt lägre kostnad än tidigare.

OTP-nycklar kräver, på samma sätt som andra 2-faktors-lösningar, en del integration på server-sidan. Inom IETF håller man på att utveckla en standard för hur denna integration för Kerberos ska se ut baserat på fast-ramverket. Denna standard är under utveckling och har ännu inte implementerats av någon. Kerberos är, räknat per antalet installationer, den dominerande teknologin för säker inloggning idag. Kerberos stöds och utvecklas aktivt av bland annat Microsoft, MIT och Apple. Kerberos är en IETF-standard som är föremål för aktiv utveckling. Projektet tror att denna standard med stor sannolikhet kommer att implementeras av Microsoft i nästa större version av Windows (efter Windows 7).

Alla företag och organisationer (och det är väldigt många) som använder Windows Active directory använder idag Kerberos vilket betyder att en lösning för hårda nyckelbärare måste fungera tillsammans med Kerberos och Active Directory för att vara intressant för de flesta organisationer och företag.

Projektets övergripande mål är att implementera denna blivande standard för integration av Kerberos med OTP-nycklar på ett sådant sätt att det går att stödja de på marknaden vanligast förekommande produkterna samt att de kan vara färdiga att visa interoperabilitet med en eventuellt kommande implementation i Microsoft Active directory. Projektet introducerar stöd för billig och enkel OTP-teknologi i Kerberos samt gör detta på ett sådant sätt att både fria och kommersiella implementationer av Kerberos kan dra nytta av resultatet.

Projektet drivs av NORDUnet.

Läs mer