¿Cuáles son los pros y los contras de usar Yubico OTP frente a OATH-HOTP ? Ambos parecen muy similares.
¿Cuáles son los pros y los contras de usar Yubico OTP frente a OATH-HOTP ? Ambos parecen muy similares.
Utilidad
El modo Yubico AES solo funciona con un yubikey. El dispositivo devuelve una estructura de datos larga, que debe ser descifrada.
HOTP devuelve un código de 6 u 8 dígitos. El algoritmo utiliza un truncamiento para formar el código del dígito. El código del dígito se crea para que un usuario pueda leer el código y escribir el código en un teclado.
Por lo tanto: con el modo AES de Yubico, debe tener un dispositivo que cree e ingrese la contraseña de un solo uso, mientras que con HOTP siempre puede confiar en el teclado.
Sync
El modo Yubico AES aumenta dos contadores. Un contador de enchufes y un contador de uso. Esta información está encriptada, luego el valor encriptado es enviado para su validación. La validación en este caso significa que el valor cifrado se descifra y que el servidor verifica si los contadores enviados son más grandes que los últimos contadores, que vio el servidor.
En el modo HOTP, el valor OTP se calcula en función del contador. El servidor debe realizar la misma operación como el token OTP. Por eso tienes esta ventana. El token podría presionarse sin que el valor se envíe al servidor. El servidor conoce el último valor (contador = n) que vio. Pero no sabe cuántas prensas en blanco se realizaron en el token OTP. Entonces el servidor necesita // probar // n + 1, n + 2 ...
El token HOTP puede "desincronizarse". El modo AES de Yubico no puede.
Standards
El modo Yubico AES está bien documentado. Pero solo es implementado por el Yubikey. HOTP está estandarizado en RFC 4226.
Crytpography
Bueno, no me preguntes. Supongo que tanto AES como HMAC-SHA1 son algoritmos bastante fuertes ...
... ahora puedes decidir qué aspecto es un pro y cuál es un contras . Por lo general, se reduce a la facilidad de uso y la pregunta si tiene un puerto USB o no. El yubikey es uno de los pocos tokens de hardware que pueden inicializarse y, por lo tanto, puede mantener el control sobre su material clave. Use un código de fondo de código abierto privacyIDEA para registrar y administrar los tokens.
Lea otras preguntas en las etiquetas one-time-password multi-factor yubikey