OpenOTP™ Server (Multi-Factor mit OTP & FIDO2)

Anwendungskennwörter sind lange zufällige Schlüssel, die von den Benutzern im Self-Service Desk generiert werden können und für eine Clientanwendung spezifisch sind. Diese Schlüssel können als Ersatz für die Standardanmeldung verwendet werden, wenn die Anwendung OTP oder FIDO2 nicht unterstützt. Der typische Anwendungsfall ist ein Mailserver, auf den über mobile Geräte zugegriffen wird. Die E-Mail-Clients auf den Geräten werden mit dem Passwort der E-Mail-Server-Anwendung konfiguriert, um die Eingabe des OTP-Passworts bei jeder Verbindung zu vermeiden.

Die kontextbezogene OpenOTP-Authentifizierung ist in der Lage, die Sicherheitsanforderungen für eine Benutzeranmeldung intelligent zu senken, wenn ein vertrauenswürdiger Kontext validiert wird. Der vertrauenswürdige Anmeldekontext basiert auf den IP-Adressen des Benutzers in Kombination mit den Fingerabdrücken des Clientgeräts. Wenn einem Anmeldekontext vertraut wird, meldet sich der Benutzer mit einem einzigen Faktor (dem Domänenkennwort) an. Wenn ein Anmeldefehler auftritt, wird Multi-Factor erneut erzwungen.

Mit der OpenOTP-QRCode-Schlüsselbereitstellung war die Token-Selbstregistrierung noch nie so einfach. Es ist keine manuelle Token-Konfiguration oder Eingabe eines geheimen Schlüssels erforderlich: Mit OpenOTP-Token registrieren Benutzer ihren Software-Token einfach durch Scannen eines Registrierungs-QRCodes auf ihrem iOS- oder Android-Mobilgerät.

Software-Token-Technologien erfordern, dass der Endbenutzer die mobile Software herunterlädt, das mobile Token auf dem Authentifizierungsserver registriert und manchmal den OTP-Generator neu synchronisiert. OpenOTP umfasst Endbenutzer-Webanwendungen (Self-Desk und Self-Reg), um die Bereitstellung Ihrer Lösung so weit wie möglich zu vereinfachen. Die Self-Services von RCDevs bieten selbstverwaltete Endbenutzerportale, die in Ihrem Unternehmens- oder öffentlichen Netzwerk veröffentlicht werden können.

- Die Self-Desk-Web-App ermöglicht es Endbenutzern, einige persönliche Einstellungen selbst zu konfigurieren, ihre Kontoinformationen (z. B. Mobiltelefonnummer oder E-Mail-Adresse) zu aktualisieren, ihre tokens herunterzuladen, zu registrieren und erneut zu synchronisieren.

- Die Selbstregistrierungs-Web-App ermöglicht es Administratoren, eine Benutzer-E-Mail mit einer einmaligen Selbstregistrierungs-URL auszulösen. Durch Klicken auf die URL und Eingabe seines Passworts kann der Benutzer tokens registrieren, erneut synchronisieren und testen.

- Die Password Reset Web App ermöglicht es Benutzern, ihre verlorenen oder abgelaufenen Domänenpasswörter mit token / SMS OTP, PKI und sogar FIDO2 sicher zurückzusetzen.

- Die Help-Desk-Web-App ermöglicht die Föderation der 1. Supportlinie. Das Helpdesk-Supportteam kann Endbenutzern bei grundlegenden Anforderungen helfen, z. B. beim Ändern ihres Passworts, ihrer E-Mail-Adresse, Telefonnummer usw. Es gibt ihnen auch Zugriff auf ihre tokens und ihre Einstellungen, ihren Anmeldeverlauf, SSO, SSH und PKI.

OpenOTP erfüllt die höchsten Sicherheitsanforderungen durch die Unterstützung von Hardware Security Modules (HSM). Die YubiHSM-Hardware-Module von Yubico (https://www.yubico.com/products/yubihsm/) können verwendet werden, um Hardware-Kryptographie in OpenOTP mit AES-Verschlüsselung von Token-Seeds und echter Zufallsgenerierung für SMS/E-Mail-OTPs durchzusetzen, OCRA Herausforderungen, OTP-Listen. Der Einsatz von HSM-Modulen in OpenOTP ist 100% transparent und die Migration zur Hardware-Kryptografie kann jederzeit ohne Beeinträchtigung Ihres Geschäfts erfolgen. Der RCDevs WebADM-Server unterstützt bis zu 8 HSM-Module im Hot-Plug-Modus für Fehlertoleranz und erhöhte Leistung.

Vertrauensstellungen sind spezielle Domänen, die nicht einer Gruppe lokaler LDAP-Benutzer entsprechen, sondern einer Gruppe von Benutzern in einer entfernten OpenOTP-Installation. Das Trust-System funktioniert wie ein Authentifizierungs-Proxy für entfernte Domänen (innerhalb einer vertrauenswürdigen Organisation) und ordnet einen lokalen virtuellen Domänennamen einer entfernten Domäne auf einem anderen WebADM-Server zu.