我正在嘗試為我的家庭 wifi 網路設定身份驗證方案,透過該方案,我可以讓用戶根據時間輸入不斷變化的 4-6 位元代碼(就像您在 MFA 應用程式中看到的那樣)。簡單的舊式雙重認證器。
我的計劃是為人們提供一種簡單的方法來登入 WiFi 網絡,而無需處理密碼,但仍然非常安全。我已經有一個 Arduino,可以更改 LED 照明顯示器上的數字,稍後我可以將其同步到變化的數字以及根據時間定義當前有效數字的來源
我正在考慮創建一個自訂強制門戶,我可以透過它嵌入程式碼來提取當前的雙因素程式碼。
我遇到的主要問題是如何在主路由器或分支設備上獲取強制門戶,我可以讓用戶輸入號碼,然後將它們列入主網絡白名單,並可以訪問印表機和電視等所有內容。
起初,我想把它放在樹莓派上,但有些人說這是一個壞主意或根本不可行。讀了很多書後,我現在很困惑。
我的意思是我一直在尋找“消費者”等級路由器就像夜鷹等級的東西,但它們似乎都不支援自訂擷取頁面。我想如果我有主家庭路由器的這個選項,我可以把它建到那裡。
無論如何,總結一下我希望用戶體驗的內容:
- 使用自訂強制門戶連接到網路(它知道/可以提取當前的雙因素代碼)
- 輸入雙因素代碼
- 將其 MAC 位址或裝置列入 Wi-Fi 路由器白名單
- 如果自訂強制入口網站位於 wifi 路由器上,則(保持連線)否則(自動讓裝置連接到 wifi 路由器)
我該怎麼辦?
答案1
這將是一個有點複雜的項目。我建議看看 OpenWRThttps://openwrt.org/他們不支援開箱即用的基於 TOTP 的身份驗證(據我所知),但他們確實有強制門戶作為加載項)。所以這是你可以做的事情。他們有大量支援的硬件,至於硬體推薦,我目前只使用 Ubiquiti Network 設備。
話雖如此,確保這一切安全,您將度過一段痛苦的時光。雖然我確信有一種方法可以使這項工作按預期進行並且安全。最終,這將比簡單地使用密碼更多的工作/麻煩。預設情況下,強制門戶網路是不安全的。由於在沒有密碼的情況下連接到網路(如強制門戶所要求的那樣),因此要求無線連線未加密。之後為了安全起見,您可以使用加密的 VPN,但隨後您又會選擇將所有網路服務(印表機等)保留在開放網路上,或為使用者進行複雜的設定。