Являются OTP/OATH (RFC 4226) Аппаратными ключами Re-seedable?
Можно сделать это через mod_security, видеть Документацию о формате данных Контрольного журнала.
Есть несколько аппаратных токенов, которые можно засеять.
Симпатичная версия - это действительно yubikey, так как вам не нужно дополнительное оборудование для ее засева, а все необходимое программное обеспечение общедоступно. Юбикей отлично работает даже для слепых. Но для его использования необходим USB-порт.
Также существуют eToken PASS и eTokenNG OTP, оба токена SafeNet (бывший Aladdin). PASS - это токен брелока, который может быть загружен с помощью дополнительного устройства. EToken PASS можно использовать как токены HOTP и TOTP.
OTP eTokenNG - это гибридное устройство (OTP и смарт-карта). Он также имеет разъем USB и может быть подключен через этот разъем USB.
Но если у некоторых пользователей нет только смартфонов, вы также можете:
использовать motp , который также будет работать на старые функциональные телефоны или
SMS-токены, в которых OTP передается через SMS на мобильный телефон (не интеллектуальный). (Но я бы очень-очень не рекомендовал это!; -)
Я бы порекомендовал взглянуть на LinOTP или privacyIDEA , которая является серверной частью,
О, я ненавижу спорить с людьми.
Да, вы можете повторно заполнить аппаратный ключ. Или, если быть точным, существуют OATH-совместимые аппаратные токены, которые можно повторно засеять; в частности, юбикей . Секрет хранится в памяти, предназначенной только для записи; любой, у кого есть физическое владение устройством, может написать ему секрет, но он не вернет секрет обратно; он будет выполнять только OATH и другие операции с одноразовым паролем.
У меня нет связи с производителем; Мне просто понравились их продукты, потому что я хотел двухфакторную аутентификацию, при которой я контролировал секреты . Хотя я не использую свой в режиме OATH, я использую его в другом режиме OTP и определенно сгенерировал и загрузил свои собственные секреты для обоих моих личных токенов,
Нет, вы не можете повторно заполнить аппаратный ключ.
Начальное значение на [совместимых] аппаратных ключах OTP / OATH хранится в зашифрованном виде в ОЗУ. Чтобы извлечь или изменить ключ, вам нужно будет взломать шифрование и изменить память, пока она включена, что просто невозможно. (Поскольку эти устройства используют ОЗУ для хранения начального значения, если вы отключите аккумулятор / питание, вы потеряете это содержимое и заблокируете устройство.)
И, как нечто, что нужно учитывать, как вы знаете, что кто-то может знать ваш начальное значение ключа? Тот факт, что он установлен на заводе, не означает, что кто-либо когда-либо знает начальное значение вашего ключа, не говоря уже о значении вашего ключа и может связать его с вашим ключом. (Мой компьютер в течение всего дня генерирует криптографические ключи для таких вещей, как SSL-сайты, не