Token & Smartcards
Der grosse Vorteil der LinOTP Plattform liegt in der breiten Unterstützung verschiedener Token von unterschiedlichen Herstellern. Die modulare Architektur mit ihren Abstraktionslayern ermöglicht es, neue Token basierend auf ihrer Funktionsweise zuzuordnen und, sollte es noch kein passendes Modul geben, dieses in kürzester Zeit zu entwickeln.
Die nachfolgende Auswahl ist daher stets als Momentaufnahme zu verstehen.
Sprechen Sie uns gerne an, wenn Sie Fragen zu nicht aufgelisteten Token haben.
LSE Mobile OTP
Token auf Basis von Einmalpasswörtern (OTP) dienen zum Verhindern des
Mitsniffens von Passworten und Vermeidung von Replay-Attacken. Ein
zweiter Faktor durch den Besitz eines Tokens oder Gerätes erhöht die
Sicherheit weiter.
LSE MobileOTP nutzt den bereits vorhandenen
zweiten Faktor in Form Ihres Mobiltelefons. Auf dem Mobiltelefon ist ein
geheimer, benutzerindividueller Schlüssel (HMAC-OTP) hinterlegt, mit
Hilfe dessen die Einmalpasswörter generiert werden.
Vorteile
LSE MobileOTP pro Benutzer mehrere Schlüssel und somit mehrere
Profile verwalten. ES ist daher möglich, sich mit einem Gerät in
unterschiedlichen Zuständigkeitsbereichen zu authentisieren.
Der
offene Standard HMAC-OTP erlaubt die Verwendung von LSE MobileOTP mit
unterschiedlichen Backendsystemen wie beispielsweise LSE LinOTP oder
SafeNet / Aladdin SAM / TMS.
LSE MobileOTP ist in Java entwickelt und
somit auf den meisten Endgeräten einsetzbar. Bitte kontaktieren Sie uns
für Ihr konkretes Endgerät.
LSE sPASS Token
Der LSE sPASS oder Simple Pass Token ist ein festes Passwort, welches ohne Veränderung durch einen beweglichen Faktor als Token weitergegeben wird.
LSE Remote Token
Der LSE Remote Token wird in komplexen, verteilten Installationen dazu verwendet, um einen OTP Request zu einem anderen LinOTP Server weiterzuleiten. Dies kann auf Basis der Benutzerzuordnung oder der Token Seriennummer erfolgen.
LSE Radius Token
Der LSE Radius Token wird hauptsächlich in Multivendor-Umgebungen oder Migrationsszenarien verwendet. Er dient dazu einen Authentifizierungs-Request bestehend aus Username und Passwort/OTP an einen beliebigen Radius Server weiterzuleiten.
LSE Tagespasswort Token
Tagespasswort-Token werden in Anmeldeszenarien benötigt, bei denen keine extern zugängliche Authentifizierungs-Schnittstelle wie z. B. Radius verfügbar ist, so dass ein permanenter Abgleich der Authentifizierungsdaten nicht möglich ist. LinOTP kann zu diesem Zweck Schlüsseldateien importieren oder Tagespasswort-Token erstellen, die ihren Wert nur einmal täglich ändern.
Andere Token
LinOTP unterstützt gegenwärtig eine Vielzahl von HOTP und TOTP basierten Token sowie einige proprietäre Formate
HOTP oder ereignisbasierte OTP Token
LinOTP kann über ein entsprechendes Token-Modul die meisten verfügbaren HOTP Token verwenden. Diese basieren überwiegend noch auf dem in RFC 4226 definierten HMAC-SHA1 mit 160 bit Schlüssellänge. LinOTP kann darüber hinaus OATH kompatible Schlüsseldateien nach RFC 6030 und proprietäre Implementierungen wie SafeNet eToken Pass XML und Feitian XML importieren.
SafeNet eToken NG-OTP
SafeNet eToken NG-OTP ist ein hybrider USB / OTP Token, der sowohl zur Authentisierung mit Zertifikaten auf dem Smartcard-Chip, als auch zur Anmeldung mit Einmalpasswörtern verwendet werden kann. Die Erzeugung der HMAC-OTP Werte erfolgt auf Knopfdruck (ereignisbasiert).
Ein Vorteil des eToken NG-OTP liegt darin, dass der geheime Schlüssel erst bei der Zuweisung des Token an den Benutzer erzeugt und auf den Token geschrieben wird. Die benutzerindividuellen Schlüssel können dadurch so geheim wie möglich gehalten werden.
SafeNet eToken Pass Event
Dieser OTP Token (ohne USB Connector) basiert auf der gleichen Architektur wie der eToken NG-OTP. Die benutzerindividuellen Schlüssel können entweder vorab in der Fabrik aufgespielt werden oder vom Kunden mit Hilfe eines Programmierstifts selbst erzeugt werden. Der eToken Pass glänzt zudem mit der längsten Batterielaufzeit.
SafeNet Safeword Alpine
Der ausgesprochen weit verbreitete Safeword Alpine Token ist die Vorgängerversion des eToken Pass und weist die gleichen Funktionsmerkmale auf.
Feitian C-100
Feitians C-100 Token ist ein kostengünstiger OTP Token, der in Europa gerne als OEM Produkt verkauft wird. Wie die meisten hier unterstützten Token verwendet er den OATH-HOTP Algorithmus.
Authenex A-Key 3600
Authenex ist ein in den USA sehr populärer Hersteller, der mit dem A-Key 3600 ebenfalls einen OATH-HOTP kompatiblen OTP Token vertreibt. Wasserdichtes Gehäuse.
Yubico YubiKey
Der Yubikey ist ein Produkt der 2007 gegründeten schwedischen Firma Yubico. Anders als andere OTP Token verfügt er über kein Display, sondern wartet mit einem ganz neuen, eigenständigen Tokenkonzept auf. Der Yubikey ist ein schmaler, flacher USB Token, der über den USB Port mit Strom versorgt wird und daher ohne Batterien auskommt. DIe Lebenszeit ist daher theoretisch unendlich. Das Betriebssystem erkennt den Yubikey als USB Keyboard, es ist also keine Installation einer Client-Software notwendig. Zur Authentisierung wird der Cursor auf Anmeldemaske bewegt, eine leichte Berühung der Sensorfläche des Tokengehäuses genügt - der Yubikey generiert den OTP-Wert und füllt ihn automatisch ein.
Der Yubikey unterstützt neben dem HOTP Wert noch den proprietären, 32 Stellen langen Yubico OTP Wert, einen statischen Passcode und ein Challenge-Response-Verfahren (zu welchen allerdings die Installation einer Client Software notwendig ist).
Validus Technologies BC-30
Validus Tech stellt mit der BC-30 eine biometrische OTP Karte zur Verfügung, bei der statt eines Knopfdrucks das Auflegen des Fingers zur Generierung eines Einmalpasswortes führt. Dies stellt eine zusätzliche Sicherheitsstufe dar, da nur der zugewiesene Kartenbesitzer in der Lage ist, einen OTP Wert zu erzeugen. Durch die Match-On-Card Technologie verlassen die Fingerabdruckdaten niemals die Karte.
Validus Technologies PB-1
Die Push-Button (Knopfdruck)-Karte PB-1 von Validus Tech ist ein OTP Token in Kartenform. Das Einmalpasswort kann ereignis- oder zeitbasiert sein und wird durch Drücken des Ein/Aus-Knopfes erzeugt.
Validus Technologies CR-1
DIe CR-1 von Validus Tech ist eine Challenge Response-Karte mit 12-teiliger Tastur zum Eingabe der PIN. Sie folgt dem OATH OCRA Standard und ist zum Signieren digitale Transaktionen geeignet. Die Zertifizierung als Mastercard und Visa Basistechnologie ist in Arbeit. Der OTP Wert kann bei der CR-1 ereignis- oder zeitbasiert gesteuert werden.
HMAC-SHA256 basierte Token
Die meisten verfügbaren HOTP Token verwenden noch den in RFC 4226 definierten HMAC-SHA1 mit 160 bit Schlüssellänge. Neuere Hardwareversionen haben bereits den HMAC-SHA256 implementiert, so die letzte Revision des SafeNet eToken Pass.
TOTP oder zeitbasierte OTP Token
Das HMAC/OATH-Token Modul von LinOTP unterstützt neben den HOTP kompatiblen Token auch nahezu alle TOTP kompatiblen Produkte. Es besteht die Möglichkeit OATH kompatible Schlüsseldateien nach RFC 6030 zu importieren oder den Schlüssel während des Ausrollens manuell einzugeben.
SafeNet eToken Pass Time
Die zeitbasierte Variante des eToken Pass ist äußerlich von der ereignisbasierten Form kaum zu unterscheiden. Sie bietet ebenfalls die Möglichkeit die Token im Feld zu progammieren und verfügt über eine ausgesprochen langlebige Batterie.
Feitian C-200
Der zeitbasierte C-200 Token verfügt über ein flaches, moderneres Gehäuse als der C-100 und informiert auf dem Display auch über die verbleibende Zeit bis zum nächsten Passwortwechsel. Sehr preisgünstig.
Validus Technologies BC-30
Validus Tech stellt mit der BC-30 eine biometrische OTP Karte zur Verfügung, bei der statt eines Knopfdrucks das Auflegen des Fingers zur Generierung eines Einmalpasswortes führt. Dies stellt eine zusätzliche Sicherheitsstufe dar, da nur der zugewiesene Kartenbesitzer in der Lage ist, einen OTP Wert zu erzeugen. Durch die Match-On-Card Technologie verlassen die Fingerabdruckdaten niemals die Karte.
Validus Technologies PB-1
Die Push-Button (Knopfdruck)-Karte PB-1 von Validus Tech ist ein OTP Token in Kartenform. Das Einmalpasswort kann ereignis- oder zeitbasiert sein und wird durch Drücken des Ein/Aus-Knopfes erzeugt.
Validus Technologies CR-1
DIe CR-1 von Validus Tech ist eine Challenge Response-Karte mit 12-teiliger Tastur zum Eingabe der PIN. Sie folgt dem OATH OCRA Standard und ist zum Signieren digitale Transaktionen geeignet. Die Zertifizierung als Mastercard und Visa Basistechnologie ist in Arbeit. Der OTP Wert kann bei der CR-1 ereignis- oder zeitbasiert gesteuert werden.
SMS OTP / Mobile TAN
LinOTP unterstützt sowohl das SMS OTP Verfahren, bei welchem vom Management-System ein SMS-Token ausgerollt wird, der den OTP Wert per SMS auf die hinterlegte Handynummer der Benutzers sendet, als auch das Mobile TAN Verfahren. Bei letzterem erhält der Anwender eine TAN (also den OTP-Wert) als SMS auf die hinterlegte Handynummer.
Mobile Token (Apps)
Wir sind stets bestrebt, die Anzahl unterstützter Apps zu erweitern. Die folgende Liste zeigt die aktuell empfohlenen Apps für iPhone und Android.
Empfohlene HOTP Apps
iPhone
Es können außer den hier genannten Apps auch andere verwendet werden, es sollte jedoch darauf geachtet werden, dass das Geheimnis (Schlüssel, Passphrase) nicht manuell registriert und in ein Selbstverwaltungsportal getippt werden muss.
Google Authenticator
Unterstützt verschiedene Accounts und Token und zeigt das Geheimnis niemals im Klartext in der App. Positiv zu vermerken ist auch das leichte Ausrollen des Token: es muss lediglich aus der App heraus der QRCode im LinOTP Selbstverwaltungsportal gescannt werden.
Nachteilig schlägt zu Buche, dass der Token in der App nicht passwortgeschützt werden kann.
OATH Token
Die OATH Token App verhält sich ählich wie der Google Authenticator. Sie bietet ebenfalls die Möglichkeit verschiedene Accounts und Token zu nutzen und unterbindet im Lockdown Modus die Klartextdarstellung des Geheimnisses. Auch hier kann der QRCode im Selbstverwaltungsportal von LinOTP einfach eingescannt werden.
Negativ fällt auf, dass der Code nicht aus der App heraus direkt eingescannt werden kann, sondern dafür eine externe App wie z. B. "Red Laser" verwendet werden muss. Anschließend muss der gescannte Link manuell geschlöscht werden. Außerdem fehlt auch bei der OATH App die Möglichkeit, den Token innerhalb der App über ein Passwort zu schützen.
DS3 Token
Positiv ist zu vermerken, dass beim DS3 Token als einziger App die Möglichkeit gegeben ist, den Token innerhalb der App über ein Passwort zu schützen. Auch ist die Klartextdarstellung des Geheimnisses in der App unterbunden.
Leider ist der Ausrollprozess dadurch erschwert, dass man das Geheimnis manuell am LinOTP Selbstverwaltungsportal eintippen muss, außerdem wird nur ein Account/Token unterstützt.
iOTP
Die Unterstützung verschiedener Accounts/Token löst die iOTP App, ähnlich die Google und OATH sehr gut, auch hier wird die Klartextdarstellung des Geheimnisses verhindert. Neu ist, dass die App eine automatische Support-eMail an den Administrator senden kann.
Zu bemängeln ist auch hier die manuelle Eingabe des Geheimnisses am LinOTP Selbstverwaltungsportal.
Asion mobile OTP
Die Asion mobile OTP App bietet den geringsten Funktionsumfang, unterbindet aber immerhin die Klartextdarstellung des Geheimnisses in der App.
Sie unterstützt jedoch nur einen Account/Token und erschwert das Ausrollen durch die manuelle Eingabe des Geheimnisses am LinOTP Selbstverwaltungsportal.
