オープン認証イニシアチブのソースを表示

[[Category:認証]]
[[en:Initiative for Open Authentication]]
{{Related articles start}}
{{Related|U2F}}
{{Related|ディスク暗号化}}
{{Related|Google Authenticator}}
{{Related|アイデンティティ管理}}
{{Related|Yubikey}}
{{Related|pam_oath}}
{{Related|pass}}
{{Related articles end}}

[[Wikipedia:Initiative for Open Authentication|オープン認証イニシアチブ]] （OATH）は、強力な認証の採用を促進するために、オープンスタンダードを使用したオープンなリファレンスアーキテクチャを開発するための業界全体の協力体制です。Google Authenticator やその他の一般的な2要素認証アプリケーションが使用する標準を公開しています。

== インストール ==

以下のパッケージは、OATH 資格情報の生成、転送、および検証に使用できます。

* {{Pkg|oath-toolkit}} - 資格情報を受け取り、コードを生成します。ユーザー認証用の PAM モジュールが含まれています。詳細は [[pam_oath]] を参照してください。
* {{Pkg|libpam-google-authenticator}} - 新しい資格情報を生成するクライアントプログラム {{ic|google-authenticator}} と、ユーザー認証用の PAM モジュールを提供します。詳細は [[Google Authenticator]] を参照してください。
* {{Pkg|pass-otp}} - {{Pkg|pass}} に OATH サポートを追加します。
* {{Pkg|zbar}} - QR コードをデコードします。
* {{Pkg|qrencode}} - QR コードをエンコードします。

== 標準 ==

OATH は、Arch ユーザーにとって重要な 2 つの標準を作成しました。どちらも任意の長さの Base32 エンコードされた共有シークレットに基づいています。

; HOTP: HMAC（ハッシュベースのメッセージ認証コード）ワンタイムパスワード（[[Wikipedia
|HOTP]]）。パスワードが生成されるたびにカウンターが増加します。この値はシークレットキーと連結され、6～10 桁のコードを生成するためにハッシュされます。認証側も同様に処理しますが、コードが正常に認証されるとカウンターを増加させます。カウンターの非同期化を処理するために、認証側は現在のカウンター状態を超えて、さらに複数（30～100）の値をチェックすることができます。
; TOTP: 時間ベースのワンタイムパスワード（[[Wikipedia
|TOTP]]）。HOTP と非常によく似ていますが、カウンターの代わりに現在の時間を使用します。これにより、非同期化の問題が解決され、攻撃者が OTP を記録して後で使用する可能性が排除されます。

== URI credential format ==

Credentials are usually shared in a QR-encoded [https://github.com/google/google-authenticator/wiki/Key-Uri-Format URI format]. All fields must be URI-encoded strings:

 otpauth://TYPE/LABEL?PARAMETERS

{{warning|A URI formatted credential, and any QR code generated from it, contains all information required to generate valid one-time passwords. Protect it as you would any other password.}}

; TYPE: {{ic|totp}} or {{ic|hotp}}
; LABEL: Identifies which account a key is associated with, optionally prefixed with an issuer string. Example: {{ic|Arch%20Wiki:alice@archlinux.org}}
; PARAMETERS: Take the standard URI parameter format - {{ic|1=?name=value&name=value...}}

* {{ic|secret}} - required; this is the Base32 shared secret.
* {{ic|issuer}} - Indicates the provider or service the account is associated with. If this is absent, the issuer prefix of the label will be used. If both are present, they should be equal.
* {{ic|algorithm}} - {{ic|SHA1}} by default. Can also be {{ic|SHA256}} or {{ic|SHA512}}.
* {{ic|digits}} - How long passcodes should be. Default is 6, can be 8.
* {{ic|counter}} - Required if using HOTP. Initial counter value.
* {{ic|period}} - Optional if using TOTP. Sets how long a code is valid, 30 seconds by default.

Here is an example:

 otpauth://totp/Example%20Company:alice@google.com?secret=JBSWY3DPEHPK3PXP&issuer=Example%20Company
          |type|  issuer prefix   |    account     |         secret        |     issuer            |
               |               label              |                  parameters                   |

== Tips and tricks ==

=== Decode QR codes ===

This can be accomplished with tools from {{Pkg|zbar}}. Decode a PNG file:

 $ zbarimg my_qr_code.png --quiet --raw

Decode images from a camera:

 $ zbarcam /dev/video0

=== Create QR codes ===

The {{Pkg|qrencode}} package is useful here. 

Encode a URI, save it as a PNG:

 $ qrencode -o my_code.png 'MY_URI'

Encode a URI, print a QR code to the terminal:

 $ qrencode -t ansiutf8 'MY_URI'

=== Generate keys ===

To generate your own key in the proper format, you can use something like the following:

 $ head -c 16 /dev/urandom | base32 --wrap 0

=== Generate OTPs from the command line ===

Use {{man|1|oathtool}} from {{Pkg|oath-toolkit}}:

 $ oathtool --base32 --totp KEY

Many password managers, including [[pass]] and [[KeePass]] also offer support for generating these codes.

=== Linux User authentication with PAM ===

See either [[pam_oath]] or [[Google Authenticator]].

== See also ==

* [https://openauthentication.org/specifications-technical-resources/ Standard specifications]
* [https://github.com/google/google-authenticator/wiki/Key-Uri-Format URI format reference]
* [https://zxing.org/w/decode.jspx QR and barcode decoder] - Do not enter actual credentials here.
* [https://web.archive.org/web/20210127122609/https://rootprojects.org/authenticator/ QR code tester (archive.org)] - Do not enter actual credentials here.