¿Puedo reutilizar el token de doble factor de otro proveedor en mi propio sistema? (Evitar la hinchazón de fichas físicas)

Question

¿Puedo reutilizar el token de doble factor de otro proveedor en mi propio sistema? (Evitar la hinchazón de fichas físicas)

#1 de Steve (5 votos)

6

Leí las técnicas de autenticación multifactor de código abierto denominadas HOTP RFC 4226 y TOTP RFC 6238 y me di cuenta de que un solo número aleatorio es la base de la criptografía del token ... y que este número debe ser secreto o el beneficio de múltiples factores. está roto.

También noté que algunos de mis usuarios están usando un YubiKey, una clave RSA y una clave de Gemalto para servicios bancarios, VPN y servicios web de Amazon, respectivamente.

Me gustaría ofrecer la autenticación de múltiples factores, pero quiero evitar la hinchazón física del token para el usuario final. (Ellos llevan demasiados tokens)

Pregunta

¿Qué información necesitaría para reutilizar un YubiKey, RSA o Gemalto (o cualquier otro) existente en mi propio sistema?

Supongo que el usuario tendrá que darme el número de serie (para poder obtener el material de la clave) y necesitaré determinar el algoritmo de cifrado para cada clave.

authentication cryptography multi-factor

pregunta random65537 31.12.2012 - 22:48

fuente

1 respuesta

Lea otras preguntas en las etiquetas authentication cryptography multi-factor

¿Cuándo y por qué Chrome muestra una advertencia de detección de malware? Parámetros de cadena de consulta seguros

score 5 · Answer 1

Probablemente no quieras hacerlo de esa manera, ya que eso podría comprometer seriamente las claves de estas cosas. Con la información que tendría entonces, la cuenta bancaria de su usuario ahora está en mayor riesgo porque un atacante solo necesita romper su sistema, en lugar del banco o un token de seguridad reforzado.

Es probable que su mayor problema sea el hecho de que, para los tokens que utilizan HOTP basado en eventos o protocolos relacionados, debe mantener los valores esperados sincronizados en todos los sistemas sobre los que no necesariamente tiene ningún control. De lo contrario, corre el riesgo de bloquear al usuario de su banco.

Además, normalmente necesita más que el número de serie. Hay semillas o IV que se utilizan para iniciar inicialmente la secuencia y están diseñados para no leerse desde el token.