Quels sont les périphériques TOTP dédiés appelés?
J'aimerais acheter un appareil pouvant être provisionné avec une graine secrète, puis affiche un jeton d'authentification basé sur le temps sans jamais révéler la graine.
En tant que termes tels 2fa, [~ # ~ # ~] totp [~ # ~ ~] et authentificateur sont presque garantis pour ne présenter que des informations sur mobile Les générateurs de jetons hébergés par téléphone, je suis quelque peu lutte pour trouver les fabricants pertinents.
J'ai trouvé des appareils à l'aide du terme "serment-totp", mais la fréquence élevée de "si vous perdez votre graine, appelez-nous" et "Vous avez besoin d'Adobe Flash Player pour commander " me fait penser que je n'utilise pas tout à fait les beaux termes de recherche pour trouver un produit de confiance.
Quelle est cette classe d'appareil appelée?
La plupart des vendeurs estimaient le jeton TOTP et fournissent un fichier de graines (avec la clé secrète) à importer dans votre système. Bien sûr, cela laisse un peu de doute, si le fournisseur gère le droit de livraison clé.
Si vous alliez pour HOTP et non TOTP, je recommanderais le YUBIKEY, car il doit être initialisé de la manière la plus facile. D'autres dispositifs sont conçus pour la rentabilité et la programmation n'est parfois pas une fonctionnalité. (Vous auriez besoin d'une interface et du fournisseur de matériel devra fournir des logiciels afin de pouvoir programmer le périphérique).
Cependant, il existe des jetons TOTP Feitian (cartes d'affichage C200 et TOTP), qui peuvent être programmés. Mais vous devez investir dans un périphérique ou un logiciel de programmation, qui doit être acheté.
Il y a le vendeur Longmai, qui fournit également des jetons TOTP et je pense que vous pouvez programmer ces utilisateurs utilisant le protocole NFC - mais: je pense qu'ils n'ont pas de logiciel prêt à l'emploi -> beaucoup de programmation de votre côté .
Bottomline: Je pense que la programmation des jetons TOTP ne vaut que l'effort si vous allez utiliser plusieurs tours de jeton. Si vous recherchez un jeton seul, jetez un coup d'œil à la Yubikey.
Il existe un certain nombre de produits qui permettent d'écrire la graine que vous souhaitez utiliser à l'aide d'une application spéciale (Free), vous n'avez besoin que d'un fichier Android avec NFC puce à bord. Le processus est tel que décrit ici .
Ils peuvent être googliés à l'aide de terme "Toks TOTP programmables".
Les jetons programmables sont une solution pratique et fiable. Seulement vous connaissez la graine secrète et elle ne peut pas être récupérée du jeton. Ils peuvent être sous une forme d'une touche FOB, carte de cuisson ou jetons USB. J'utilise Protectimus Slim NFC Jeton. Il a une forme de carte de crédit et peut être facilement programmé avec Protectimus Totp Burner.
NIST SP 800-63B , qui a une taxonomie de méthodes d'authentification et de dispositifs, les renvoie sous deux catégories. Le plus simple est Passage de mot de passe facteur ponctuel(5.1.4):
Les authenticateurs OTP à un facteur de facteur contiennent deux valeurs persistantes. La première est une clé symétrique qui persiste pour la durée de vie du périphérique. La seconde est une nonce qui est changée chaque fois que l'authentificateur est utilisé ou est basé sur une horloge en temps réel.
Un plus élaboré est un périphérique de mot de passe ponctuel multi-facteurs(5.1.5):
Les auteurs d'authentificateurs d'OTO multi-facteurs fonctionnent de manière similaire à des authenticateurs OTP à un facteur à facteur (voir la section 5.1.4.1), sauf qu'ils nécessitent l'entrée du secret mémorisé ou de l'utilisation d'une biométrie pour obtenir l'OTP de l'authentificateur. Chaque utilisation de l'authentificateur doit nécessiter l'entrée du facteur supplémentaire.
Outre les informations d'activation, les auteurs d'authentification de l'OTP multi-facteurs contiennent deux valeurs persistantes. La première est une clé symétrique qui persiste pour la durée de vie du périphérique. La seconde est une nonce qui est changée chaque fois que l'authentificateur est utilisé ou est basé sur une horloge en temps réel.
Ces termes sont plutôt bureaucratiques; Par exemple, le document a une section sur authentificateurs secrets mémorisés("communément appelé mot de passe ou, si numérique, a [~ # ~] PIN [~ # ~ # ~] , "ça explique utilement). Mais ils pourraient toujours être utiles.
Notez que le document n'exige pas que les périphériques OTP soient dédiés à mériter ses étiquettes; Par exemple, il admet une implémentation logicielle sur un smartphone.