我可以在我自己的系统中重复使用其他供应商的双因子令牌吗?(避免物理令牌膨胀)

信息安全 密码学 验证 多因素
2021-08-30 02:33:17

我阅读了名为的开源多因素身份验证技术HOTP RFC 4226TOTP RFC 6238并意识到单个随机数是令牌密码学的基础......并且必须将该数字保密,否则多因素优势将被破坏。

我还注意到我的一些用户分别使用 YubiKey、RSA 密钥和 Gemalto 密钥用于银行业务、VPN 服务和 Amazon Web 服务。

我想提供多因素身份验证,但想避免最终用户的物理令牌膨胀。(他们携带太多代币)

问题

在我自己的系统中重用现有的 YubiKey、RSA 或 Gemalto(或任何其他)需要哪些信息?

我想用户需要给我序列号(以便我可以导出密钥材料),并且我需要确定每个密钥的加密算法。

1个回答

您可能不想那样做,因为这可能会严重损害这些事情的关键。有了您所拥有的信息,您的用户的银行帐户现在面临更大的风险,因为攻击者只需要破坏您的系统,而不是银行或强化的安全令牌。

您最大的问题可能是,对于使用基于事件的 HOTP 或相关协议的令牌,您必须在您不一定有任何控制权的系统之间保持预期值同步。否则,您将面临将用户锁定在银行之外的风险。

此外,通常您需要的不仅仅是序列号。有一些种子或 IV 用于最初启动序列,并且设计为不从令牌中读取。

其它你可能感兴趣的问题
上一篇我需要在 PHP 中防范哪些漏洞利用类型? 下一篇安全查询字符串参数