Quali sono i pro e i contro dell'uso di Yubico OTP rispetto a OATH-HOTP ? Sembrano entrambi molto simili.
Quali sono i pro e i contro dell'uso di Yubico OTP rispetto a OATH-HOTP ? Sembrano entrambi molto simili.
Usabilità
La modalità AES di Yubico funziona solo con un yubikey. Il dispositivo restituisce una struttura dati lunga, che deve essere decodificata.
HOTP restituisce un codice a 6 o 8 cifre. L'algoritmo utilizza un troncamento per formare il codice cifra. Il codice cifra è creato in modo che un utente sia in grado di leggere il codice e digitare il codice in una tastiera.
Quindi: con la modalità AES di Yubico è necessario disporre di un dispositivo che crea e immette la password unica, mentre con HOTP è sempre possibile fare affidamento sulla tastiera.
Sync
La modalità Aub Yubico aumenta due contatori. Un contatore di prese e un contatore di utilizzo. Questi dati sono crittografati, quindi il valore crittografato viene inviato per la convalida. La validazione in questo caso significa che il valore crittografato è decodificato e che il server verifica se i contatori inviati sono più grandi degli ultimi contatori, che il sever ha visto.
In modalità HOTP il valore OTP viene calcolato in base al contatore. Il server deve eseguire la stessa operazione come il token OTP. Questo è il motivo per cui hai questa cosa della finestra. Il token può essere premuto senza che il valore sia inviato al server. Il server conosce l'ultimo valore (contatore = n) che ha visto. Ma non sa, quante presse vuote sono state eseguite sul token OTP. Quindi il server deve // provare // n + 1, n + 2 ...
Il token HOTP può diventare "fuori sincronia". La modalità AES di Yubico non può.
Standard
La modalità AES di Yubico è ben documentata. Ma è implementato solo da Yubikey. HOTP è standardizzato in RFC 4226.
Crytpography
Beh, non chiedermelo. Suppongo che sia AES che HMAC-SHA1 siano algoritmi solidi ...
... ora puoi decidere quale aspetto è un pro e quale a contro . Di solito si riduce all'usabilità e alla domanda se si dispone di una porta USB o meno. Il yubikey è uno dei pochi token hardware, che può essere inizializzato e quindi puoi mantenere il controllo sul tuo materiale chiave. Utilizza un back-end lile open source privacyIDEA per registrare e gestire i token.
Leggi altre domande sui tag one-time-password multi-factor yubikey