Как с помощью IFTTT создать временный одноразовый пароль?

9

Я недавно зарегистрировался в IFTTT , который кажется фантастическим сервисом, объединяющим события для создания умного дома или автоматизации различных сервисов.

Я только что нашел канал Maker, который позволяет вам делать простые HTTP-запросы (например, GET и POST), и я надеюсь использовать его для безопасной отправки сообщения Raspberry Pi, который у меня работает, который ожидает любого запроса API на определенном маршруте (скажем, например POST /foo).

В статье Makezine, на которую я ссылаюсь, предлагается такой метод обеспечения безопасности:

Теперь то, что я сделал выше, было ужасно небезопасно, я в основном представил миру сценарий - другими словами, веб-приложение, которое могло бы включать и выключать переключатель, управляющий светом в моем доме. Это, очевидно, не то, что вы хотите сделать, но именно поэтому службы IFTTT предоставляют возможность передавать больше информации удаленной службе.

Было бы не сложно установить, например, аутентифицированную связь TOTP между ними, обмен токенами или ключами - и защитить саму вашу учетную запись IFTTT? Они только что добавили двухфакторную аутентификацию.

Я прочитал больше о Основанных на времени одноразовых паролях в Википедии, которая, кажется, предполагает, что для создания одноразового пароля требуется элемент вычислений.

Поскольку IFTTT не поддерживает цепочку задач или какой-либо сценарий, как мне сгенерировать TOTP, как предлагается в статье? Можно ли вообще это сделать, поскольку требуются некоторые расчеты, и, кажется, нет способа сделать это?

Аврора0001
источник
Вы отправляете конкретные данные из IFTTT (содержимое почты, ...)? Если это так, вы можете включить его часть (тему) в качестве пароля для вашего запроса. Также достаточно ли SSL для отправки сообщения или вам действительно нужен пароль?
Гуфалит
2
@Goufalite цель пароля - больше для аутентификации - SSL обеспечивает безопасность транспортного уровня, но не гарантирует, что запрос действительно от моего апплета.
Аврора0001
если у вас есть набор паролей, которые хранятся где-то и генерируются регулярно, IFTTT не будет иметь проблем с отправкой их один за другим! правильно?
Прашант Бенни
@PrashanthBenny, мой вопрос конкретно о поколении. Вы не можете делать любые математические операции IFTTT, но статья рекомендует этот алгоритм , который делает требует некоторых вычислений, поэтому не представляется возможным.
Aurora0001
1
Позвольте мне убедиться, что нет источников, говорящих по-другому! :)
Прашант Бенни

Ответы:

3

Связанная статья немного вводит в заблуждение. Интерфейс, предоставляемый IFTTT, не полностью открыт, для него требуется ключ в запросе. Поскольку запрос выполняется с использованием HTTPS, секрет не может быть непосредственно обнаружен (при условии, что ваш клиент всегда надежно подключается к IFTTT, а не к прокси-серверу mitm).

Со страницы информации о канале производителя (зависит от пользователя)

Для запуска события выполните веб-запрос POST или GET для:

https://maker.ifttt.com/trigger/ {event} / with / key / my-secret-key С необязательным телом JSON:

{"value1": "", "value2": "", "value3": ""}

Данные являются полностью необязательными, и вы также можете передавать значения1, значение2 и значение3 в качестве параметров запроса или переменных формы. Этот контент будет передан действию в вашем рецепте.

Вы также можете попробовать это с помощью curl из командной строки.

curl -X POST https://maker.ifttt.com/trigger/ {событие} / с / key / my-secret-key

Теперь ключом является только низкая энтропия, поэтому он потенциально может быть обращен к мониторингу ваших запросов (если вы не дополняете их высоким качеством шума), но запрос на безопасность сеанса в этом случае удовлетворяется TLS, который обрабатывает настройку канала HTTPS. ,

Чтобы сделать связь значительно более безопасной, требуется, чтобы IFTTT специально поддерживал аутентификацию конечной точки, но это, по-видимому, превышает безопасность, которая применяется к другим каналам на стороне службы. Это означает, что ваш канал-производитель для IFTTT в настоящее время в равной степени защищен, как канал IFTTT для ваших бытовых приборов.

Шон Хулихейн
источник