我们build立了一个双重身份validation系统,使用Google身份validation器通过手机应用程序使用OTP。 然而,我们的一些用户没有智能手机,所以我们希望能够使用硬件令牌。
如果制造商设定了密钥/种子,那么明显可能是别人知道你的密钥。 这似乎并不安全。 所以如果他们可以重新种植的话,是不合情理的。 当你得到这些硬件令牌时,可以用新的密钥重新设置这些types的硬件令牌吗? 这是否取决于主要制造商?
有几个硬件令牌可以播种。
一个可爱的版本的确是yubikey,因为你不需要额外的硬件来播种它,所有必要的软件都是公开的。 yubikey甚至可以为盲人用户正常工作。 但是你需要一个USB端口来使用它。
还有eToken PASS和eTokenNG OTP,都是SafeNet(前阿拉丁)的代币。 PASS是一个关键的FOB令牌,可以用附加设备播种。 eToken PASS可以作为HOTP和TOTP令牌播种。
eTokenNG OTP是一个混合设备(OTP和智能卡)。 它也有一个USB连接器,可以使用这个USB连接器播种。
但是,如果有些用户只是缺乏智能手机,您还可以:
使用motp ,这也将运行在旧function手机或
短信令牌,OTP通过短信传送到手机(不是智能手机)。 (但我真的,真的不会推荐这个!;-)
我会推荐的是,看看LinOTP或是后台的privacyIDEA ,它可以处理所有这些令牌types(Google Autheticator,YubiKey,eToken Pass,eTokenNG OTP,motp,SMS …),从而使您可以select哪个用户将拥有哪个令牌。
最后,是的,我为公司工作,为开源的LinOTP提供企业扩展。
哦,我讨厌与人矛盾。
是的,您可以重新制作硬件密钥。 或者,确切地说,存在可以重新接种的符合OATH的硬件令牌; 尤其是yubikey 。 秘密存储在有效的只写存储器中; 任何拥有该设备的人都可以写出一个秘密,但不会泄露秘密; 它只会执行OATH和其他一次性密码操作。
我与制造商没有任何关系。 我只是喜欢他们的产品,因为我想要双重身份validation, 我在控制的秘密 。 虽然我不使用我的OATH模式,但是我在另一个OTP模式下使用它,并且已经为我的个人令牌和其他使用我的系统的人使用了我自己的秘密。
如果您好奇,我已经在我的技术文档中写了更多的内容。
无论如何,现在你知道存在可重新生成的硬件标记,你可以环顾四周find适合你的东西。
不,您无法重新生成硬件密钥。
[兼容] OTP / OATH硬件密钥上的种子值被存储,encryption,在RAM中。 为了提取或更改密钥,您需要打开encryption并在启动时更改内存,这是不可行的。 (因为这些设备使用RAM来存储种子值,所以如果断开电池/电源,则会丢失这些内容并将设备烧毁。)
而且,正如要考虑的事情,你怎么知道有人可能知道你的钥匙的种子价值? 仅仅因为它是在工厂设置的,并不意味着任何人都知道你的密钥的种子价值,更不用说知道你的密钥的价值,并可以将它与你的密钥相关联。 (我的电脑整天都在为SSL网站这样的东西生成encryption密钥,并不意味着如果我的生活依靠它,我可以告诉你任何这些关键的价值。)