призначення
Автономний генератор одноразових паролів eToken PASS можна використовувати для аутентифікації в будь-яких додатках і службах, які підтримують протокол аутентифікації RADIUS - VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access і ін.
Комплект розробника eToken OTP SDK 2.0 дозволяє легко додати підтримку аутентифікації по одноразових паролів у власні додатки.
переваги
- Не вимагає установки додаткового клієнтського ПЗ.
- Не вимагає установки драйверів.
- Працює без підключення до комп'ютера - немає необхідності наявності вільного USB-порту.
- Можливість роботи в будь-якій операційній системі.
- Можливість роботи з мобільних пристроїв.
- Одноразовий пароль є чинним лише протягом одного сеансу зв'язку - користувач може не турбуватися про те, що пароль може бути подсмотрен або перехоплений.
- Низька ціна.
Принцип роботи
У eToken PASS реалізований алгоритм генерації одноразових паролів (One-Time Password - OTP), розроблений в рамках ініціативи OATH. Цей алгоритм заснований на алгоритмі HMAC і хеш-функції SHA-1. Для розрахунку значення OTP приймаються два вхідних параметра - секретний ключ (початкове значення для генератора) і поточне значення лічильника (кількість необхідних циклів генерації). Початкове значення зберігається як в самому пристрої, так і на сервері в системі eToken TMS. Лічильник в пристрої збільшується при кожній генерації OTP, на сервері - при кожному вдалому аутентифікації по OTP.
При запиті на аутентифікацію перевірка OTP здійснюється сервером RADIUS (Microsoft IAS, FreeRadius і інші), який звертається до системи eToken TMS, що здійснює генерацію OTP на стороні сервера. Якщо введене користувачем значення OTP, збігається зі значенням, отриманим на сервері, аутентифікація вважається успішною, і RADIUS сервер відправляє відповідний відповідь.
Партія пристроїв eToken PASS поставляється з зашифрованим файлом, що містить початкові значення для всіх пристроїв партії. Цей файл імпортується адміністратором в систему eToken TMS. Після цього для призначення пристрою користувачеві необхідно ввести його серійного номера (друкується на корпусі пристрою).
У разі порушення синхронізації лічильника генерації в пристрої і на сервері, система eToken TMS дозволяє легко відновити синхронізацію - привести значення на сервері у відповідність значенням, що зберігається в пристрої. Для цього адміністратор системи або сам користувач (при наявності відповідних дозволів) повинен згенерувати два послідовних значення OTP і відправити їх на сервер через Web-інтерфейс eToken TMS.
З метою посилення безпеки система eToken TMS дозволяє використовувати додаткове значення OTP PIN - в цьому випадку для аутентифікації користувач крім імені користувача та OTP вводить додаткове секретне значення OTP PIN. Це значення задається при призначенні пристрою користувачеві.
модифікації
- Кольоровий друк на поверхні.
- Нанесення логотипу на корпус.
Специфікація eToken PASS
Алгоритм генерації OTP
- Синхронізація за подією: згідно специфікації RFC 4226;
- Синхронізація за часом: згідно з робочою версією специфікації Time-based One-time Password Algorithm (в рамках ініціативи OATH)
Операційні системи
Одноразові паролі можуть використовуватися в будь-якій операційній середовищі
Термін життя батарей