IFTTT를 사용하여 시간 기반 일회용 비밀번호를 생성하는 방법

나는 최근 IFTTT 에 등록 했는데, 스마트 홈을 만들거나 다양한 서비스를 자동화하기 위해 이벤트를 함께 연결하는 환상적인 서비스처럼 보입니다.

방금 간단한 HTTP 요청 (예 : GET 및 POST)을 할 수 있는 Maker 채널 을 찾았으며 API 요청을 기다리고있는 Raspberry Pi에 메시지를 안전하게 보내려고합니다. 특정 경로에서 (예를 들어 POST /foo)

Makezine 기사 나 링크는 보안을 위해이 방법을 제안한다 :

제가 위에서 한 것은 엄청나게 안전하지 않은 것이 었습니다. 기본적으로 집에 빛을 제어하는 ​​스위치를 켜고 끌 수있는 스크립트 (웹 응용 프로그램)가 전 세계에 노출되었습니다. 이것은 분명히 당신이하고 싶은 것이 아니지만 IFTTT의 서비스가 더 많은 정보를 원격 서비스에 전달하는 기능을 제공하는 이유입니다.

예를 들어 둘 사이 또는 토큰 또는 키 교환간에 TOTP 인증 링크 를 설정하고 IFTTT 계정 자체를 보호 하는 것이 어렵지 않습니까? 방금 2 단계 인증을 추가했습니다.

Wikipedia의 Time-based One-time Passwords 에 대해 자세히 읽었습니다 . 일회성 암호를 생성하기 위해 계산 요소가 관련되어 있음을 제안하는 것 같습니다.

IFTTT는 작업 체인 또는 스크립팅을 지원하지 않으므로 기사에서 제안한대로 TOTP를 어떻게 생성합니까? 일부 계산이 필요하고이를 수행 할 방법이없는 것처럼 보이기 때문에이 작업을 수행 할 수 있습니까?

연결된 기사가 약간 오도됩니다. IFTTT에서 제공하는 인터페이스가 완전히 열리지 않았으므로 요청에 키가 필요합니다. 요청은 HTTPS를 사용하여 이루어 지므로 비밀을 직접 확인할 수 없습니다 (클라이언트가 항상 mitm 프록시가 아닌 IFTTT에 안정적으로 연결되어있는 경우).

로부터 메이커 채널 정보 페이지 (사용자 별)

이벤트를 트리거하려면 POST 또는 GET 웹 요청을 수행하여 다음을 수행하십시오.

https://maker.ifttt.com/trigger/ {event} / with / key / my-secret-key 선택적 JSON 본문 :

{ "value1": "", "value2": "", "value3": ""}

데이터는 완전히 선택 사항이며 value1, value2 및 value3을 쿼리 매개 변수 또는 양식 변수로 전달할 수도 있습니다. 이 내용은 레시피의 액션으로 전달됩니다.

커맨드 라인에서 curl로 시도해 볼 수도 있습니다.

curl -X POST https://maker.ifttt.com/trigger/ {event} / with / key / my-secret-key

이제 핵심은 엔트로피가 낮기 때문에 요청을 모니터링하는 것에서 역효과를 낳을 수 있습니다 (고품질 노이즈로 요청하지 않는 한) 세션 별 보안 요청은이 경우 HTTPS 채널 설정을 처리하는 TLS에 의해 충족됩니다. .

통신을 훨씬 더 안전하게하려면 엔드 포인트 인증을 구체적으로 지원하기 위해 IFTTT가 필요하지만 이는 다른 서비스 측 링크에 적용되는 보안을 초과하는 것으로 보입니다. 이는 현재 IFTTT에 대한 제조업체 채널이 가전 제품에 대한 IFTTT 채널과 동일하게 안전하다는 것을 의미합니다.