Os tokens de hardware OTP / OATH (RFC 4226) são reutilizáveis?

5

Nós configuramos um sistema de autenticação de dois fatores que usa o Google Authenticator para usar o OTP por meio de aplicativos para celular . No entanto, alguns dos nossos usuários não têm smartphones, por isso queremos usar tokens de hardware.

Se a chave / semente secreta for definida pelo fabricante, alguém obviamente pode conhecer sua chave secreta. Isso não parece seguro. Então não faria sentido se eles fossem reutilizáveis. Esses tipos de tokens de hardware podem ser redefinidos com uma nova chave secreta quando você os obtiver? Depende apenas do fabricante principal?

    
por Andrew Case 04.04.2013 / 21:50

4 respostas

4

Existem vários tokens de hardware que podem ser semeados.

Uma versão fofa é realmente o yubikey, já que você não precisa de nenhum hardware adicional para semear e todo o software necessário está publicamente disponível. O yubikey funciona bem para usuários cegos. Mas você precisa de uma porta USB para usá-lo.

Há também o eToken PASS e o eTokenNG OTP, ambos os tokens da SafeNet (antigo Aladdin). O PASS é um token fob chave e pode ser semeado com um dispositivo adicional. O eToken PASS pode ser semeado como um HOTP e um token TOTP.

O eTokenNG OTP é um dispositivo híbrido (OTP e Smartcard). Ele também tem um conector USB e pode ser semeado usando este conector USB.

Mas se alguns usuários não tiverem smartphones, você também pode:

  1. use o motp , que também será executado em telefones com recursos mais antigos ou

  2. SMS-Tokens, onde o OTP é transmitido via SMS para um telefone celular (não inteligente). (Mas eu realmente não recomendaria isso!;)

O que eu recomendaria é, dê uma olhada em LinOTP ou privacyIDEA que é um backend, que funciona com todos esses tipos de token (Google Autheticator, YubiKey, eToken Pass, eTokenNG OTP, motp, SMS ...), dando a você a possibilidade de escolher qual usuário terá qual token.

Finalmente, e sim, eu trabalho para a empresa, que fornece extensões empresariais para o LinOTP de código aberto.

    
por 05.04.2013 / 21:39
2

Oh, eu odeio contradizer as pessoas.

Sim, você pode repagar uma chave de hardware. Ou, para ser preciso, existem tokens de hardware compatíveis com OATH que podem ser novamente propagados; especificamente, o yubikey . O segredo é armazenado no que é efetivamente memória somente de gravação; qualquer pessoa com posse física do dispositivo pode escrever um segredo para ele, mas não vai dar o segredo de volta; ele só executará o OATH e outras operações de senha descartáveis com ele.

Eu não tenho conexão com o fabricante; Eu gostei de seus produtos, porque eu queria a autenticação de dois fatores, onde eu estava no controle dos segredos . Embora eu não use o meu no modo OATH, eu o uso em outro modo OTP, e definitivamente criei e enviei meus próprios segredos tanto para o meu token pessoal quanto para aqueles que usam meus sistemas.

Se você está curioso, eu escrevi mais sobre isso na minha technote .

De qualquer forma, agora você sabe que existem tokens de hardware reutilizáveis, você pode procurar um que seja adequado para você.

    
por 04.04.2013 / 22:52
0

Não, você não pode repagar uma chave de hardware.

O valor inicial das chaves de hardware OTP / OATH [compatíveis] é armazenado, criptografado, na RAM. Para extrair ou alterar a chave, você precisaria quebrar a criptografia e alterar a memória, enquanto estiver ligada, o que não é viável. (Como esses dispositivos usam RAM para armazenar o valor inicial, se você desconectar a bateria / energia, perde o conteúdo e bloqueia o dispositivo.)

E, como algo a considerar, como você sabe que alguém pode saber o valor da semente de sua chave? Só porque é definido na fábrica não significa que qualquer pessoa conheça o valor inicial da sua chave, quanto mais saiba o valor da sua chave e possa associá-la à sua chave. (Meu computador gera chaves de criptografia durante todo o dia para coisas como sites SSL, não significa que eu poderia lhe dizer qualquer um desses valores-chave se minha vida dependesse disso.)

    
por 04.04.2013 / 22:18
0

Sim, depende do fabricante. Há substitutos do hardware do Google Authenticator. Token2 miniOTP é um exemplo, e há mais alguns link

Eu trabalho para o Token2

    
por 10.08.2018 / 20:33