web-dev-qa-db-ja.com

OTP / OATH(RFC 4226)ハードウェアトークンは再シード可能ですか?

Google Authenticator を使用して携帯電話アプリ経由でOTPを使用する2要素認証システムをセットアップしました。ただし、一部のユーザーはスマートフォンを持っていないため、スマートフォンでハードウェアトークンを使用できるようにしたいと考えています。

秘密鍵/シードが製造元によって設定されている場合、他の誰かが明らかにあなたの秘密鍵を知っている可能性があります。これは安全ではないようです。それで、それらが再播種可能であるならば、それは意味がありません。これらのタイプのハードウェアトークンは、取得時に新しい秘密鍵でリセットできますか?主要メーカーに依存しているだけですか?

securityhardwaresecuridtoken
5
Andrew Case

シードできるハードウェアトークンがいくつかあります。

シードするために追加のハードウェアを必要とせず、必要なすべてのソフトウェアが公開されているため、かわいいバージョンは確かにyubikeyです。 yubikeyは、目の不自由なユーザーにも問題なく機能します。ただし、使用するにはUSBポートが必要です。

また、SafeNet(旧Aladdin)のトークンであるeTokenPASSとeTokenNGOTPもあります。 PASSはキーフォブトークンであり、追加のデバイスをシードできます。 eToken PASSは、HOTPおよびTOTPトークンとしてシードできます。

ETokenNG OTPは、ハイブリッドデバイス(OTPとスマートカード)です。また、USBコネクタがあり、このUSBコネクタを使用してシードできます。

ただし、一部のユーザーがスマートフォンを持っていない場合は、次のこともできます。

  1. motp を使用します。これは、古いフィーチャーフォンまたは

  2. SMSトークン。OTPはSMSを介して携帯電話に送信されます(スマートではありません)。(しかし、私は本当にこれをお勧めしません!;-)

私がお勧めするのは、これらすべてのトークンタイプ(Google Autheticator、YubiKey、eToken Pass、eTokenNG OTP)で動作するバックエンドである LinOTP または privacyIDEA を見てください。 、motp、SMS ...)したがって、どのユーザーがどのトークンを持っているかを選択する可能性があります。

最後に、はい、私はオープンソースのLinOTPにエンタープライズ拡張機能を提供する会社で働いています。

4
cornelinux

ああ、私は矛盾する人々が嫌いです。

はい、ハードウェアキーを再シードできます。または、正確には、再シードできるOATH準拠のハードウェアトークンが存在します。具体的には、 yubikey です。シークレットは、事実上書き込み専用メモリであるものに格納されます。デバイスを物理的に所有している人は誰でもそのデバイスに秘密を書き込むことができますが、秘密を元に戻すことはできません。 OATHおよびその他のワンタイムパスワード操作のみを実行します。

メーカーとは関係ありません。 私が秘密を管理していた2要素認証が必要だったので、私は彼らの製品が好きでした。私はOATHモードで使用していませんが、別のOTPモードで使用しており、個人トークンと、システムを使用する他のユーザーが使用するトークンの両方について、自分のシークレットを確実に生成してアップロードしています。

あなたが興味を持っているなら、私はそれについてもっと書いています 私の技術ノートで

いずれにせよ、再シード可能なハードウェアトークンが存在することがわかったので、自分に合ったトークンを探し回ることができます。

2
MadHatter

いいえ、ハードウェアキーを再シードすることはできません。

[準拠] OTP/OATHハードウェアキーのシード値は、RAMに保存され、暗号化されます。キーを抽出または変更するには、電源がオンのときに暗号化を解除してメモリを変更する必要がありますが、これは実行不可能です。 (これらのデバイスはシード値を格納するためにRAMを使用するため、バッテリー/電源を切断すると、それらの内容が失われ、デバイスがブリックされます。)

そして、考慮すべきことと同じように、誰かがあなたの鍵のシード値を知っているかもしれないことをどうやって知るのですか?工場で設定されているからといって、誰もがあなたのキーのシード値を知っているわけではありません。もちろん、あなたのキーの値を知っていて、それをあなたのキーに関連付けることができます。 (私のコンピューターは、SSL Webサイトなどのために、一日中暗号化キーを生成します。私の人生がそれに依存している場合、それらのキー値のいずれかを伝えることができるという意味ではありません。)

0
HopelessN00b

はい、メーカーによって異なります。 GoogleAuthenticatorのハードウェアドロップイン代替品があります。 Token2 miniOTPはその一例であり、さらにいくつかあります https://www.token2.com/shop/?c=2

追伸私はToken2で働いています

0
Gulnara