Come posso generare una password monouso basata sul tempo con IFTTT?

Di recente mi sono registrato con IFTTT , che sembra un servizio fantastico per concatenare eventi insieme per creare una casa intelligente o automatizzare vari servizi.

Ho appena trovato il canale Maker che ti consente di effettuare semplici richieste HTTP (ad es. GET e POST) e spero di usarlo per inviare in modo sicuro un messaggio a un Raspberry Pi che ho in esecuzione in attesa di qualsiasi richiesta API su un certo percorso (diciamo, ad esempio, POST /foo).

L' articolo di Makezine che ho collegato suggerisce questo metodo per la sicurezza:

Ora quello che ho fatto sopra è stato terribilmente insicuro, ho sostanzialmente esposto al mondo una sceneggiatura - un'applicazione web in altre parole - che poteva attivare e disattivare un interruttore che controllava una luce nella mia casa. Questo ovviamente non è qualcosa che vuoi fare, ma è per questo che i servizi di IFTTT forniscono le capacità per passare più informazioni al servizio remoto.

Non sarebbe difficile impostare un collegamento autenticato TOTP tra i due, ad esempio, o uno scambio di token o chiavi - e proteggere il tuo account IFTTT stesso? Hanno appena aggiunto l'autenticazione a due fattori.

Ho letto di più sulle password monouso basate sul tempo su Wikipedia, il che sembra suggerire che esiste un elemento di calcolo per generare la password monouso.

Poiché IFTTT non supporta il concatenamento di attività o script, come posso generare il TOTP come suggerito nell'articolo? È possibile farlo, dato che sono necessari alcuni calcoli e non sembra esserci un modo per farlo?

L'articolo collegato è un po 'fuorviante. L'interfaccia fornita da IFTTT non è completamente aperta, richiede una chiave nella richiesta. Poiché la richiesta viene effettuata tramite HTTPS, il segreto non è direttamente osservabile (a condizione che il client si connetta sempre in modo affidabile a IFTTT, non a un proxy mitm).

Dalla pagina delle informazioni sul canale del produttore (specifica dell'utente)

Per attivare un evento Invia una richiesta web POST o GET a:

https://maker.ifttt.com/trigger/ {event} / with / key / my-secret-key Con un corpo JSON opzionale di:

{"value1": "", "value2": "", "value3": ""}

I dati sono completamente opzionali e puoi anche passare value1, value2 e value3 come parametri di query o variabili di modulo. Questo contenuto verrà passato all'Azione nella tua Ricetta.

Puoi anche provarlo con l'arricciatura da una riga di comando.

curl -X POST https://maker.ifttt.com/trigger/ {event} / with / key / my-secret-key

Ora la chiave è solo un'entropia bassa, quindi potrebbe essere potenzialmente invertita dal monitoraggio delle richieste (a meno che non le si riempia di rumore di alta qualità), ma la richiesta di sicurezza per sessione è in questo caso soddisfatta da TLS che gestisce l'impostazione del canale HTTPS .

Per rendere la comunicazione significativamente più sicura, sarebbe necessario che IFTTT supporti specificamente l'autenticazione dell'endpoint, ma ciò sembra superare la sicurezza applicata agli altri collegamenti sul lato servizio. Ciò significa che il tuo canale maker verso IFTTT è attualmente altrettanto sicuro del canale IFTTT per i tuoi elettrodomestici.