専用TOTPデバイスとは何ですか?
シークレットシードをプロビジョニングできるデバイスを購入し、シードを公開せずに時間ベースの認証トークンを表示したいと思います。
2FA、[〜#〜] totp [〜#〜]およびAuthenticatorなどの用語は、モバイルに関する情報のみを表示することがほぼ保証されています電話でホストされているトークンジェネレーターです。関連するメーカーを見つけるのに苦労しています。
「oath-TOTP」という用語を使用しているデバイスをいくつか見つけましたが、頻度が高い"シードを失った場合は、お電話ください"および"Adobe Flash Playerが必要です"は、信頼できる製品を見つけるために適切な検索用語を使用していないと私に思わせます。
そのデバイスクラスは何と呼ばれますか?
ほとんどのベンダーはTOTPトークンをプレシードし、システムにインポートするシードファイル(秘密鍵を含む)を提供しています。もちろん、ベンダーが鍵の配信権を扱っている場合、これには少し疑問があります。
TOTPではなくHOTPを使用する場合は、最も簡単な方法で初期化するため、yubikeyをお勧めします。他のデバイスはコスト効率を考慮して構築されており、プログラミングが機能しない場合があります。 (実際にデバイスをプログラムできるように、インターフェイスが必要であり、ハードウェアベンダーがソフトウェアを提供する必要があります)。
ただし、プログラム可能なFeitian TOTPトークン(C200およびTOTPディスプレイカード)がいくつかあります。しかし、購入する必要があるプログラミングデバイスまたはソフトウェアに投資する必要があります。
TOTPトークンも提供するベンダーlongmaiがあり、NFCプロトコルを使用してこれらをプログラミングできると思いますが、:既製のソフトウェアがないと思います->多くのプログラミングあなたの側で。
結論:TOTPトークンのプログラミングは、数百のトークンを使用する場合にのみ、努力する価値があると思います。自分でトークンを探しているだけなら、yubikeyを見てください。
特別な(無料の)アプリを使用して、必要なシードを書き込むことができる製品がいくつかあります。AndroidデバイスNFCチップオンボード。プロセスは記述されたとおりです here 。
それらは「プログラム可能なtotpハードウェアトークン」という用語を使用してグーグルできます。
プログラム可能なトークンは、便利で信頼できるソリューションです。シークレットシードを知っているのはあなただけであり、トークンから取得することはできません。それらは、キーフォブ、ベーキングカード、またはUSBトークンの形式にすることができます。私はProtectimus Slim NFCトークンを使用しています。これはクレジットカードの形式で、Protectimus TOTPバーナーで簡単にプログラムできます。
NIST SP 800-63B は、認証方法とデバイスの分類法があり、2つのカテゴリでそれらを参照します。最も単純なのは単一要素のワンタイムパスワードデバイス(5.1.4):
単一要素OTPオーセンティケーターには2つの永続的な値が含まれています。 1つ目は、デバイスの有効期間中持続する対称キーです。 2つ目は、オーセンティケーターが使用されるたびに変更されるか、リアルタイムクロックに基づくノンスです。
より複雑なものは、多要素のワンタイムパスワードデバイスです(5.1.5):
多要素OTPオーセンティケーターは、記憶された秘密の入力、またはオーセンティケーターからOTPを取得するための生体認証の使用を必要とすることを除いて、単一要素OTPオーセンティケーター(5.1.4.1を参照)と同様に動作します。オーセンティケーターを使用するたびに、追加の要素の入力が必要になります。
アクティベーション情報に加えて、多要素OTPオーセンティケーターには2つの永続的な値が含まれています。 1つ目は、デバイスの有効期間中持続する対称キーです。 2つ目は、オーセンティケーターが使用されるたびに変更されるか、リアルタイムクロックに基づくノンスです。
これらの用語はかなり官僚的です。たとえば、ドキュメントにはメモ化された秘密認証システムに関するセクションがあります( "一般にpasswordと呼ばれます)または、数値の場合、a[〜#〜]ピン[〜#〜]、 "わかりやすく説明しています)。しかし、それらはまだ役に立つかもしれません。
ただし、このドキュメントではOTPデバイスをラベルに値する専用にする必要はありません。たとえば、スマートフォンでのソフトウェア実装を認めています。