我可以在我自己的系统中重复使用另一个供应商的双因素令牌吗？(避免物理令牌膨胀)

Question

我阅读了名为HOTP RFC 4226和TOTP RFC 6238的开源多因素身份验证技术，并意识到单个随机数是令牌密码学的基础.这个数字必须保密，否则多因素的利益就会被打破。

我还注意到，我的一些用户分别使用YubiKey、RSA密钥和Gemalto密钥用于银行、VPN服务和Amazon服务。

我想提供多因素身份验证，但希望避免物理令牌膨胀的最终用户。(他们携带了太多的代币)

问题

在我自己的系统中重用现有的YubiKey、RSA或Gemalto (或任何其他信息)需要哪些信息？

我想用户需要给我序列号(这样我就可以得到密钥材料)，我需要确定每个密钥的密码算法。

Answer 1

你可能不想这样做，因为那样会严重损害这些事情的关键。有了这些信息，您的用户的银行帐户现在面临更大的风险，因为攻击者只需要破坏您的系统，而不是银行或硬化的安全令牌。

您最大的问题可能是，对于使用基于事件的HOTP或相关协议的令牌，您必须在系统之间保持预期值的同步，您不一定有任何控制。否则，您将面临将用户锁定在银行之外的风险。

而且，通常你需要的不仅仅是序列号。有些种子或IV最初用于启动序列，并被设计为不从令牌中读取。