Di recente mi sono imbattuto in Gemalto IDPrime MD serie di smartcard che offrono funzionalità PKI e OTP (Conosco la differenza nella gestione / generazione delle chiavi e nell'uso orientato all'utente)
Ora ho cercato un po 'e non ho trovato risposta soddisfacente alla domanda:
- I token OTP hardware (standard) tutti (standard) richiedono allo sviluppatore di passare l'OTP al server del produttore per la verifica?
- Se un token OTP (ad esempio una smartcard), non dispone di una connessione USB o di un display, come si sposta solitamente la password one time all'utente? tramite accesso diretto all'API? Via una nuova finestra? Tramite un lettore di schede non collegato al PC?
Come nota a margine: non includo i token OTP creati appositamente per le grandi aziende, perché ovviamente sarebbero prodotti con un segreto noto dell'azienda / personalizzato dalla società.
Come nota a margine: se il token ha una visualizzazione (come un RSA SecurID ), l'utente può semplicemente leggere l'OTP e inserirlo manualmente utilizzando la tastiera e se dispone di una connessione USB diretta (come un YubiKey ) il token può semplicemente emulare una tastiera e digitarla da sola.