基于 TOTP 白名单的强制门户

基于 TOTP 白名单的强制门户

我正在尝试为我的家庭 wifi 网络设置一个身份验证方案,通过该方案,我可以让用户输入一个根据时间不断变化的 4-6 位代码(就像您在 MFA 应用程序中看到的那样)。简单的旧式双因素身份验证器。

我的计划是让人们能够轻松地登录 wifi 网络,而无需输入密码,但仍然非常安全。我已经有一个 Arduino,它可以改变 LED 照明显示屏上的数字,我可以稍后将其同步到变化的数字,还有一个根据时间定义当前有效数字的源

我正在考虑创建一个自定义强制门户,可以通过该门户嵌入代码来提取当前的双因素代码。

我遇到的主要问题是如何在主路由器或分支设备上获取强制门户,我可以让用户输入号码,然后让他们在主网络中列入白名单,并可以访问打印机和电视等所有内容。

一开始我考虑把它放在树莓派上,但有些人说这不是个好主意,或者根本不可行。读了很多资料后,我现在很困惑。

我是说我在寻找“消费者”像夜鹰级路由器这样的路由器,但它们似乎都不支持自定义强制页面。我想如果我的主家用路由器有这个选项,我就可以把它安装在那里。

总之,我希望用户体验到:

  1. 使用自定义强制门户(了解/可以提取当前双因素代码)连接到网络
  2. 输入双因素代码
  3. 将他们的 mac 地址或设备列入 WiFi 路由器的白名单
  4. 如果自定义强制门户在 wifi 路由器上则(保持连接)否则(自动让设备连接到 wifi 路由器)

我该如何处理这个问题?

答案1

这将是一个有点复杂的项目。我建议看看 OpenWRThttps://openwrt.org/他们不支持开箱即用的基于 TOTP 的身份验证(据我所知),但他们确实有强制门户作为插件)。所以这是你可以做的事情。他们有很多支持的硬件,至于硬件建议,我目前只使用 Ubiquiti 网络设备。

话虽如此,你还是会花很多时间确保这一切的安全。虽然我确信有一种方法可以让它按预期工作,并且是安全的。最终,它会比简单地使用密码更费力/更麻烦。强制门户网络默认是不安全的。因为连接到没有密码的网络(强制门户要求)需要无线连接未加密。为了确保安全,您可以使用加密的 VPN,但您又必须选择将所有网络服务(打印机等)留在开放网络上,或者为用户提供复杂的设置。

相关内容