OTP/OATH (RFC 4226) 硬體令牌是否可重播？

我們建立了一個雙重身份驗證系統，使用Google Authenticator通過手機應用程序使用 OTP。然而，我們的一些使用者沒有智能手機，因此我們希望能夠使用硬體令牌。

如果製造商設置的密鑰/種子，那麼其他人顯然可能知道您的密鑰。這似乎並不安全。因此，如果它們可以重新播種，那豈不是很有意義。當您獲得這些類型的硬體令牌時，是否可以使用新的密鑰重置它們？它僅取決於關鍵製造商嗎？

有幾個硬體令牌可以播種。

一個可愛的版本確實是 yubikey，因為您不需要額外的硬體來播種它，並且所有必要的軟體都是公開可用的。yubikey 甚至適用於盲人使用者。但是您需要一個 USB 埠才能使用它。

還有 eToken PASS 和 eTokenNG OTP，都是 SafeNet（前 Aladdin）的代幣。PASS 是密鑰卡令牌，可以使用附加設備播種。eToken PASS 可以作為 HOTP 和 TOTP 令牌播種。

eTokenNG OTP 是一種混合設備（OTP 和智能卡）。它還有一個 USB 連接器，可以使用此 USB 連接器進行播種。

但如果一些使用者只是缺少智能手機，你也可以：

1. 使用motp，它也可以在較舊的功能手機上執行，或者
2. SMS-Tokens，其中 OTP 通過 SMS 傳輸到手機（非智能手機）。（但我真的，真的不推薦這個！;-)

我推薦的是，看看LinOTP或privacyIDEA這是一個後端，它適用於所有這些令牌類型（Google Autheticator、YubiKey、eToken Pass、eTokenNG OTP、motp、SMS ……），從而使您有可能選擇，哪個使用者將擁有哪個令牌。

最後，是的，我在為開源 LinOTP 提供企業擴展的公司工作。

引用自：https://serverfault.com/questions/496252