Os tokens de hardware OTP / OATH (RFC 4226) são reutilizáveis?

Existem vários tokens de hardware que podem ser semeados.

Uma versão fofa é realmente o yubikey, já que você não precisa de nenhum hardware adicional para semear e todo o software necessário está publicamente disponível. O yubikey funciona bem para usuários cegos. Mas você precisa de uma porta USB para usá-lo.

Há também o eToken PASS e o eTokenNG OTP, ambos os tokens da SafeNet (antigo Aladdin). O PASS é um token fob chave e pode ser semeado com um dispositivo adicional. O eToken PASS pode ser semeado como um HOTP e um token TOTP.

O eTokenNG OTP é um dispositivo híbrido (OTP e Smartcard). Ele também tem um conector USB e pode ser semeado usando este conector USB.

Mas se alguns usuários não tiverem smartphones, você também pode:

1. use o motp , que também será executado em telefones com recursos mais antigos ou

2. SMS-Tokens, onde o OTP é transmitido via SMS para um telefone celular (não inteligente). (Mas eu realmente não recomendaria isso!;)

O que eu recomendaria é, dê uma olhada em LinOTP ou privacyIDEA que é um backend, que funciona com todos esses tipos de token (Google Autheticator, YubiKey, eToken Pass, eTokenNG OTP, motp, SMS ...), dando a você a possibilidade de escolher qual usuário terá qual token.

Finalmente, e sim, eu trabalho para a empresa, que fornece extensões empresariais para o LinOTP de código aberto.

Oh, eu odeio contradizer as pessoas.

Sim, você pode repagar uma chave de hardware. Ou, para ser preciso, existem tokens de hardware compatíveis com OATH que podem ser novamente propagados; especificamente, o yubikey . O segredo é armazenado no que é efetivamente memória somente de gravação; qualquer pessoa com posse física do dispositivo pode escrever um segredo para ele, mas não vai dar o segredo de volta; ele só executará o OATH e outras operações de senha descartáveis com ele.

Eu não tenho conexão com o fabricante; Eu gostei de seus produtos, porque eu queria a autenticação de dois fatores, onde eu estava no controle dos segredos . Embora eu não use o meu no modo OATH, eu o uso em outro modo OTP, e definitivamente criei e enviei meus próprios segredos tanto para o meu token pessoal quanto para aqueles que usam meus sistemas.

Se você está curioso, eu escrevi mais sobre isso na minha technote .

De qualquer forma, agora você sabe que existem tokens de hardware reutilizáveis, você pode procurar um que seja adequado para você.

Não, você não pode repagar uma chave de hardware.

O valor inicial das chaves de hardware OTP / OATH [compatíveis] é armazenado, criptografado, na RAM. Para extrair ou alterar a chave, você precisaria quebrar a criptografia e alterar a memória, enquanto estiver ligada, o que não é viável. (Como esses dispositivos usam RAM para armazenar o valor inicial, se você desconectar a bateria / energia, perde o conteúdo e bloqueia o dispositivo.)

E, como algo a considerar, como você sabe que alguém pode saber o valor da semente de sua chave? Só porque é definido na fábrica não significa que qualquer pessoa conheça o valor inicial da sua chave, quanto mais saiba o valor da sua chave e possa associá-la à sua chave. (Meu computador gera chaves de criptografia durante todo o dia para coisas como sites SSL, não significa que eu poderia lhe dizer qualquer um desses valores-chave se minha vida dependesse disso.)

Sim, depende do fabricante. Há substitutos do hardware do Google Authenticator. Token2 miniOTP é um exemplo, e há mais alguns link

Eu trabalho para o Token2