IFTTT ile Zamana Dayalı Tek Kullanımlık Şifre nasıl oluştururum?

Kısa bir süre önce , akıllı bir ev oluşturmak veya çeşitli hizmetleri otomatikleştirmek için etkinlikleri zincirlemek için harika bir hizmet gibi görünen IFTTT'ye kaydoldum .

Basit HTTP istekleri (örneğin GET ve POST) yapmanıza izin veren Maker kanalını buldum ve bunu herhangi bir API isteği için bekleyen bir Raspberry Pi'ye güvenli bir mesaj göndermek için kullanmayı umuyorum belirli bir rotada (örneğin diyelim POST /foo).

Makezine makale ı bağlantılı güvenlik için bu yöntemi öneriyor:

Şimdi yukarıda yaptığım korkunç bir güvensizlikti, temelde dünyaya evimdeki bir ışığı kontrol eden bir düğmeyi açıp kapatabilecek bir komut dosyası - başka bir deyişle bir web uygulaması - maruz bıraktım. Bu açıkça yapmak istediğiniz bir şey değil, ancak bu yüzden IFTTT'nin hizmetleri uzak hizmete daha fazla bilgi iletme yeteneği sağlıyor.

Örneğin ikisi arasında bir TOTP kimlik doğrulamalı bağlantı veya bir belirteç veya anahtar değişimi kurmak ve IFTTT hesabınızın kendisini korumak zor değil mi? İki faktörlü kimlik doğrulama eklediler.

Wikipedia'da Zaman Tabanlı Tek Kullanımlık Şifreler hakkında daha fazla bilgi edindim, bu da tek seferlik şifreyi oluşturmak için bir hesaplama unsuru olduğunu gösteriyor.

IFTTT, görevlerin zincirlenmesini veya herhangi bir komut dosyasını desteklemediğinden, makalede önerildiği gibi TOTP'yi nasıl oluştururum? Bazı hesaplamalar gerekli olduğundan ve bunları yapmanın bir yolu olmadığı için bunu yapmak mümkün müdür?

security ifttt one-time-password

— Aurora0001
kaynak

IFTTT'den (posta içeriği, ...) belirli veriler mi gönderiyorsunuz? Öyleyse sorgunuz için bir kısmını (konu) şifre olarak ekleyebilirsiniz. Ayrıca SSL bir mesaj göndermeniz için yeterli mi yoksa gerçekten bir şifreye mi ihtiyacınız var?

— Goufalite

@ Goufalite parolanın amacı kimlik doğrulaması için daha fazladır - SSL, taşıma katmanı güvenliği sağlar, ancak isteğin gerçekte uygulamamdan olduğunu garanti etmez.

— Aurora0001

bir yerde saklanan ve düzenli olarak oluşturulan bir dizi parolanız varsa, IFTTT'nin bunları tek tek göndermede sorun olmaz! sağ?

— Prashanth Benny

@PrashanthBenny, sorum özellikle nesil hakkında. Sen IFTTT üzerinde herhangi matematiksel işlemler yapamaz, henüz makale önerir bu algoritmayı yapar mümkün görünmüyor böylece, bazı hesaplama gerektirir.

— Aurora0001

Diğer şekilde konuşan kaynak olmadığından emin olalım! :)

— Prashanth Benny

Bağlantılı makale biraz yanıltıcı. IFTTT tarafından sağlanan arayüz tamamen açık değil, istekte bir anahtar gerekiyor. İstek HTTPS kullanılarak yapıldığından, sır doğrudan gözlemlenebilir değildir (müşterinizin bir mitm proxy'sine değil her zaman IFTTT'ye güvenilir bir şekilde bağlanması şartıyla).

Gönderen yapımcısı kanal bilgileri sayfasında (kullanıcı özel)

Bir Etkinliği tetiklemek için POST veya GET web isteği yapın:

https://maker.ifttt.com/trigger/ {event} / / / key / my-secret-key ile İsteğe bağlı bir JSON gövdesi ile:

{"değer1": "", "değer2": "", "değer3": ""}

Veriler tamamen isteğe bağlıdır ve ayrıca value1, value2 ve value3'ü sorgu parametreleri veya form değişkenleri olarak da iletebilirsiniz. Bu içerik, Tarifinizdeki Eylem'e aktarılacaktır.

Komut satırından curl ile de deneyebilirsiniz.

curl -X POST https://maker.ifttt.com/trigger/ {event} / ile / anahtar / gizli anahtarım

Şimdi anahtar sadece düşük entropidir, bu nedenle potansiyel olarak isteklerinizi izlemekten geri çevrilebilir (yüksek kaliteli gürültüyle doldurmazsanız), ancak oturum başına güvenlik talebi, bu durumda HTTPS kanalının kurulumunu işleyen TLS tarafından karşılanır .

İletişimi önemli ölçüde daha güvenli hale getirmek için, IFTTT'nin uç nokta kimlik doğrulamasını özel olarak desteklemesi gerekir, ancak bu diğer hizmet tarafı bağlantılarına uygulanan güvenliği aşmaktadır. Bu, IFTTT yapımcısı kanalınızın şu anda evdeki cihazlarınız için IFTTT kanalı kadar eşit derecede güvenli olduğu anlamına gelir.

— Sean Houlihane
kaynak