「オープン認証イニシアチブ」の版間の差分
ナビゲーションに移動
検索に移動
Kusanaginoturugi (トーク | 投稿記録) (→URI credential format: 飜訳) |
Kusanaginoturugi (トーク | 投稿記録) (二要素認証に用語を統一) |
||
(同じ利用者による、間の6版が非表示) | |||
3行目: | 3行目: | ||
{{Related articles start}} |
{{Related articles start}} |
||
{{Related|U2F}} |
{{Related|U2F}} |
||
− | {{Related|デ |
+ | {{Related|保存データ暗号化}} |
{{Related|Google Authenticator}} |
{{Related|Google Authenticator}} |
||
{{Related|アイデンティティ管理}} |
{{Related|アイデンティティ管理}} |
||
11行目: | 11行目: | ||
{{Related articles end}} |
{{Related articles end}} |
||
− | [[Wikipedia:Initiative for Open Authentication|オープン認証イニシアチブ]] (OATH)は、強力な認証の採用を促進するために、オープンスタンダードを使用したオープンなリファレンスアーキテクチャを開発するための業界全体の協力体制です。Google Authenticator やその他の一般的な |
+ | [[Wikipedia:Initiative for Open Authentication|オープン認証イニシアチブ]] (OATH)は、強力な認証の採用を促進するために、オープンスタンダードを使用したオープンなリファレンスアーキテクチャを開発するための業界全体の協力体制です。Google Authenticator やその他の一般的な二要素認証アプリケーションが使用する標準を公開しています。 |
== インストール == |
== インストール == |
||
52行目: | 52行目: | ||
otpauth://totp/Example%20Company:alice@google.com?secret=JBSWY3DPEHPK3PXP&issuer=Example%20Company |
otpauth://totp/Example%20Company:alice@google.com?secret=JBSWY3DPEHPK3PXP&issuer=Example%20Company |
||
− | |type| issuer prefix |
+ | |type| issuer prefix | account | secret | issuer | |
| label | parameters | |
| label | parameters | |
||
− | == |
+ | == ヒントとコツ == |
− | === |
+ | === QR コードをデコードする === |
+ | これは {{Pkg|zbar}} のツールを使用して実行できます。PNG ファイルをデコードするには以下のコマンドを使用します: |
||
− | This can be accomplished with tools from {{Pkg|zbar}}. Decode a PNG file: |
||
$ zbarimg my_qr_code.png --quiet --raw |
$ zbarimg my_qr_code.png --quiet --raw |
||
+ | カメラから画像をデコードするには以下のコマンドを使用します: |
||
− | Decode images from a camera: |
||
$ zbarcam /dev/video0 |
$ zbarcam /dev/video0 |
||
− | === |
+ | === QR コードを作成する === |
− | + | この場合、{{Pkg|qrencode}} パッケージが便利です。 |
|
+ | URI をエンコードして、PNG として保存するには以下のコマンドを使用します: |
||
− | Encode a URI, save it as a PNG: |
||
$ qrencode -o my_code.png 'MY_URI' |
$ qrencode -o my_code.png 'MY_URI' |
||
+ | URI をエンコードして、QR コードをターミナルに表示するには以下のコマンドを使用します: |
||
− | Encode a URI, print a QR code to the terminal: |
||
$ qrencode -t ansiutf8 'MY_URI' |
$ qrencode -t ansiutf8 'MY_URI' |
||
− | === |
+ | === キーを生成する === |
+ | 適切な形式でキーを生成するには、次のようなコマンドを使用できます: |
||
− | To generate your own key in the proper format, you can use something like the following: |
||
$ head -c 16 /dev/urandom | base32 --wrap 0 |
$ head -c 16 /dev/urandom | base32 --wrap 0 |
||
+ | === コマンドラインから OTP を生成する === |
||
− | === Generate OTPs from the command line === |
||
+ | {{Pkg|oath-toolkit}} の {{man|1|oathtool}} を使用します: |
||
− | Use {{man|1|oathtool}} from {{Pkg|oath-toolkit}}: |
||
$ oathtool --base32 --totp KEY |
$ oathtool --base32 --totp KEY |
||
+ | [[pass]] や [[KeePass]] など、多くのパスワードマネージャーもこれらのコードを生成するサポートを提供しています。 |
||
− | Many password managers, including [[pass]] and [[KeePass]] also offer support for generating these codes. |
||
+ | === PAM を使用した Linux ユーザー認証 === |
||
− | === Linux User authentication with PAM === |
||
− | + | [[pam_oath]] または [[Google Authenticator]] を参照してください。 |
|
− | == |
+ | == 参照 == |
− | * [https://openauthentication.org/specifications-technical-resources/ |
+ | * [https://openauthentication.org/specifications-technical-resources/ 標準仕様] |
− | * [https://github.com/google/google-authenticator/wiki/Key-Uri-Format URI |
+ | * [https://github.com/google/google-authenticator/wiki/Key-Uri-Format URI フォーマットリファレンス] |
− | * [https://zxing.org/w/decode.jspx QR |
+ | * [https://zxing.org/w/decode.jspx QR およびバーコードデコーダー] - 実際の資格情報はここに入力しないでください。 |
− | * [https://web.archive.org/web/20210127122609/https://rootprojects.org/authenticator/ QR |
+ | * [https://web.archive.org/web/20210127122609/https://rootprojects.org/authenticator/ QR コードテスター (archive.org)] - 実際の資格情報はここに入力しないでください。 |
+ | |||
+ | {{TranslationStatus|Initiative for Open Authentication|2024-08-16|809036}} |
2024年9月5日 (木) 21:06時点における最新版
オープン認証イニシアチブ (OATH)は、強力な認証の採用を促進するために、オープンスタンダードを使用したオープンなリファレンスアーキテクチャを開発するための業界全体の協力体制です。Google Authenticator やその他の一般的な二要素認証アプリケーションが使用する標準を公開しています。
目次
インストール
以下のパッケージは、OATH 資格情報の生成、転送、および検証に使用できます。
- oath-toolkit - 資格情報を受け取り、コードを生成します。ユーザー認証用の PAM モジュールが含まれています。詳細は pam_oath を参照してください。
- libpam-google-authenticator - 新しい資格情報を生成するクライアントプログラム
google-authenticator
と、ユーザー認証用の PAM モジュールを提供します。詳細は Google Authenticator を参照してください。 - pass-otp - pass に OATH サポートを追加します。
- zbar - QR コードをデコードします。
- qrencode - QR コードをエンコードします。
標準
OATH は、Arch ユーザーにとって重要な 2 つの標準を作成しました。どちらも任意の長さの Base32 エンコードされた共有シークレットに基づいています。
- HOTP
- HMAC(ハッシュベースのメッセージ認証コード)ワンタイムパスワード(HOTP)。パスワードが生成されるたびにカウンターが増加します。この値はシークレットキーと連結され、6~10 桁のコードを生成するためにハッシュされます。認証側も同様に処理しますが、コードが正常に認証されるとカウンターを増加させます。カウンターの非同期化を処理するために、認証側は現在のカウンター状態を超えて、さらに複数(30~100)の値をチェックすることができます。
- TOTP
- 時間ベースのワンタイムパスワード(TOTP)。HOTP と非常によく似ていますが、カウンターの代わりに現在の時間を使用します。これにより、非同期化の問題が解決され、攻撃者が OTP を記録して後で使用する可能性が排除されます。
URI 資格情報フォーマット
資格情報は通常、QR エンコードされた URI フォーマットで共有されます。すべてのフィールドは URI エンコードされた文字列でなければなりません。
otpauth://TYPE/LABEL?PARAMETERS
- TYPE
totp
またはhotp
- LABEL
- キーが関連付けられているアカウントを識別し、オプションで発行者の文字列をプレフィックスとして追加します。例:
Arch%20Wiki@archlinux.org
- PARAMETERS
- 標準の URI パラメータ形式を取ります -
?name=value&name=value...
secret
- 必須; これは Base32 でエンコードされた共有シークレットです。issuer
- アカウントが関連付けられているプロバイダまたはサービスを示します。これがない場合、ラベルの発行者プレフィックスが使用されます。両方が存在する場合、それらは一致している必要があります。algorithm
- デフォルトではSHA1
。SHA256
またはSHA512
も使用できます。digits
- パスコードの長さを指定します。デフォルトは 6 ですが、8 に設定することもできます。counter
- HOTP を使用する場合に必要です。初期カウンター値。period
- TOTP を使用する場合はオプションです。コードの有効期限を設定します。デフォルトは 30 秒です。
以下は例です:
otpauth://totp/Example%20Company:alice@google.com?secret=JBSWY3DPEHPK3PXP&issuer=Example%20Company |type| issuer prefix | account | secret | issuer | | label | parameters |
ヒントとコツ
QR コードをデコードする
これは zbar のツールを使用して実行できます。PNG ファイルをデコードするには以下のコマンドを使用します:
$ zbarimg my_qr_code.png --quiet --raw
カメラから画像をデコードするには以下のコマンドを使用します:
$ zbarcam /dev/video0
QR コードを作成する
この場合、qrencode パッケージが便利です。
URI をエンコードして、PNG として保存するには以下のコマンドを使用します:
$ qrencode -o my_code.png 'MY_URI'
URI をエンコードして、QR コードをターミナルに表示するには以下のコマンドを使用します:
$ qrencode -t ansiutf8 'MY_URI'
キーを生成する
適切な形式でキーを生成するには、次のようなコマンドを使用できます:
$ head -c 16 /dev/urandom | base32 --wrap 0
コマンドラインから OTP を生成する
oath-toolkit の oathtool(1) を使用します:
$ oathtool --base32 --totp KEY
pass や KeePass など、多くのパスワードマネージャーもこれらのコードを生成するサポートを提供しています。
PAM を使用した Linux ユーザー認証
pam_oath または Google Authenticator を参照してください。
参照
- 標準仕様
- URI フォーマットリファレンス
- QR およびバーコードデコーダー - 実際の資格情報はここに入力しないでください。
- QR コードテスター (archive.org) - 実際の資格情報はここに入力しないでください。