<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><blockquote type="cite" class="">On Aug 19, 2015, at 11:04 AM, Alex Chekholko <<a href="mailto:chekh@stanford.edu" class="">chekh@stanford.edu</a>> wrote:<br class=""></blockquote><br class=""><blockquote type="cite" class="">You are correct that Duo is a proprietary application; unfortunately no equally convenient Free Software alternative exists at the moment.<br class=""><br class="">Unfortunately the Android version of Google Authenticator doesn't seem to be Free Software either.<br class=""></blockquote><div class=""><br class=""></div>That's not entirely true though. Google Authenticator mobile apps might be proprietary, but the TOTP algorithm it uses is an open standard (defined in RFC 6238). I can easily grab my secret key and write my own TOTP generator — I don't really need the Google Authenticator app (or Authy, or whatever) to authenticate. For beginners, there are readily available Python and Ruby solutions: just Google pyotp and rotp.<div class=""><br class=""></div><div class="">Meanwhile, although I know little about Duo Mobile, I'm pretty sure that it either doesn't use TOTP, or it uses it under the hood but we can't possibly extract the secret keys.</div><div class=""><br class=""></div><div class="">I don't want to argue about the security aspect of TOTP vs a proprietary solution, but I do want to be offered a TOTP option, which seems to be the industry standard anyway. Right now I'm using my good old TOTP secret key, but I feel for the new users who are forced to use Duo.</div><div class=""><br class=""></div><div class="">Best,</div><div class="">Zhiming<br class=""><div class=""><br class=""><blockquote type="cite" class="">On 8/19/15 10:24 AM, taltman wrote:<br class=""><blockquote type="cite" style="font-family: Courier; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">A note about the Duo App:<br class=""><br class="">I have been successfully logging in to Corn using the open-source Google<br class="">Authenticator app for Android. I have not needed to download the Duo App.<br class=""><br class="">How much do we know about the Duo app? Has it been audited? Does it<br class="">require excessive permissions/access to run on one's phone? Is it<br class="">sending personal information back to Duo the company?<br class=""><br class="">I personally would advocate for people to use the Google Authenticator<br class="">app instead. Requiring all of Stanford FarmShare users to install<br class="">proprietary third-party software on their cellphones seems like a bad<br class="">policy.<br class=""><br class="">My $0.02,<br class=""><br class="">~Tomer<br class=""><br class=""><br class=""><br class="">On 6/11/15 11:30 AM, Addis O'Connor wrote:<br class=""><blockquote type="cite" class="">Dear Farmshare Community,<br class=""><br class="">You may have noticed a new Mesasge of the Day when logging on to<br class="">Farmshare machines in the past month or so. It mentions our plan to<br class="">enable Duo two-factor authentication on Farmshare machines on Tuesday,<br class="">June16th, immediately after the commencement freeze.<br class=""><br class="">There will most definitely be a slight change in the way you login to<br class="">farmshare, and our hope is to make that as smooth and painless as<br class="">possible. We have updated our wiki page<br class=""><a href="https://web.stanford.edu/group/farmshare/cgi-bin/wiki/index.php/Main_Page#Duo_Two-Factor" class="">https://web.stanford.edu/group/farmshare/cgi-bin/wiki/index.php/Main_Page#Duo_Two-Factor</a><br class="">with information regarding how to use ssh shared tunnels and avoid<br class="">having to use duo every time a new session is opened.<br class=""><br class="">There are already a few machines that are already enforcing two-factor<br class="">authentication, and we strongly encourage users to try logging in and<br class="">test out the new authentication process. The two test machines are<br class="">corn19 and corn37, and they are also setup to allow connections to each<br class="">other without duo again after the initial connection.<br class=""><br class="">This change has come about to ensure the integrity of Farmshare and keep<br class="">our system protected from attackers. We hope this change will be<br class="">welcomed and will ultimately provide a more secure system on which to do<br class="">research.<br class=""><br class="">We are happy to answer any questions you may have, and will be ready to<br class="">assist any users with the new process if any issues may arise. Please<br class="">send questions, comments, and or issues to<br class="">research-computing-support@stanford.edu.<br class=""><br class="">Regards,<br class="">--<br class="">Addis O'Connor<br class="">Stanford University<br class="">Research Computing<br class="">addiso@stanford.edu<br class="">(650)529-5782<br class=""><br class=""><br class="">_______________________________________________<br class="">farmshare-discuss mailing list<br class="">farmshare-discuss@lists.stanford.edu<br class="">https://mailman.stanford.edu/mailman/listinfo/farmshare-discuss<br class=""><br class=""></blockquote><br class=""><br class=""><br class="">_______________________________________________<br class="">farmshare-discuss mailing list<br class=""><a href="mailto:farmshare-discuss@lists.stanford.edu" class="">farmshare-discuss@lists.stanford.edu</a><br class="">https://mailman.stanford.edu/mailman/listinfo/farmshare-discuss</blockquote></blockquote></div><br class=""></div></body></html>