Security
OTP/OATH (RFC 4226) 硬體令牌是否可重播?
我們建立了一個雙重身份驗證系統,使用Google Authenticator通過手機應用程序使用 OTP。然而,我們的一些使用者沒有智能手機,因此我們希望能夠使用硬體令牌。
如果製造商設置的密鑰/種子,那麼其他人顯然可能知道您的密鑰。這似乎並不安全。因此,如果它們可以重新播種,那豈不是很有意義。當您獲得這些類型的硬體令牌時,是否可以使用新的密鑰重置它們?它僅取決於關鍵製造商嗎?
有幾個硬體令牌可以播種。
一個可愛的版本確實是 yubikey,因為您不需要額外的硬體來播種它,並且所有必要的軟體都是公開可用的。yubikey 甚至適用於盲人使用者。但是您需要一個 USB 埠才能使用它。
還有 eToken PASS 和 eTokenNG OTP,都是 SafeNet(前 Aladdin)的代幣。PASS 是密鑰卡令牌,可以使用附加設備播種。eToken PASS 可以作為 HOTP 和 TOTP 令牌播種。
eTokenNG OTP 是一種混合設備(OTP 和智能卡)。它還有一個 USB 連接器,可以使用此 USB 連接器進行播種。
但如果一些使用者只是缺少智能手機,你也可以:
- 使用motp,它也可以在較舊的功能手機上執行,或者
- SMS-Tokens,其中 OTP 通過 SMS 傳輸到手機(非智能手機)。(但我真的,真的不推薦這個!;-)
我推薦的是,看看LinOTP或privacyIDEA這是一個後端,它適用於所有這些令牌類型(Google Autheticator、YubiKey、eToken Pass、eTokenNG OTP、motp、SMS ……),從而使您有可能選擇,哪個使用者將擁有哪個令牌。
最後,是的,我在為開源 LinOTP 提供企業擴展的公司工作。