feitian-token

Feitian TOTP Token, C200.

Das OATH-Konsortium ist ein Zusammenschluss mehrerer Unternehmen aus dem Authentisierungsmarkt, die sich zum Ziel gesetzt haben, die Authentisierung, Algorithmen, Protokolle und Import-Formate zu vereinheitlichen.

Die Standardisierungsarbeiten sind in mehreren RFCs gemündet, die verschiedene Algorithmen zur Berechnung von Einmalpasswörtern beschreiben. RFC4226 beschreibt den ereignisbasierten HOTP, RFC6238 beschreibt den zeitbasierten TOTP und RFC6287 den flexiblen Challenge-Response-Algorithmus OCRA. (Hierzu gibt es einen Blogbeitrag, der HOTP und TOTP gegenüberstellt.)

Weiterhin zu erwähnen ist RFC6030, der das Transportformat beschreibt, wie Seed von OTP-Token-Herstellern ausgeliefert werden können.

Diese gut dokumentierte Standardisierung ermöglicht den Boom der Authentisierung mittels Einmalpasswörtern. Vielen Herstellern, gerade auch aus Fernost, fiel es nun leicht, mathematisch zuverlässige Authentisierungsgeräte zu bauen.

google-authenticatorEbenso werden diese Algorithmen gerne in den verschiedensten Smartphone Apps verwendet, die das Smartphone mittels dieser App zum zweiten Faktor machen sollen. Allen voran sei hier der Google Authenticator erwähnt, der schon vor Jahren durch seine bequeme Initialisierung mittels QR-Code auffiel.

Allerdings muss hier erwähnt werden, dass der geheime Seed in der App auf dem Smartphone jeweils schwer zu schützen ist.

Wir setzen verschiedene Smartphone-Apps als Authentisierungsgerät ein. Viele Kunden schätzen den schnellen Rollout, die einfache Handhabung und die niedrigen Kosten. Oftmals wird in Kundenprojekten ein gemischtes Szenario aus sicheren Hardware-Token und bequemen Smartphone-Token eingesetzt. Als Backend, das mit beliebigen Token-Kombinationen zurechtkommt, wird privacyIDEA empfohlen.

Zur OATH-Webseite…