OpenOTP-Authentifizierungsserver

Anwendungskennwörter sind lange Zufallsschlüssel, die von den Benutzern in den Self-Services generiert werden können und spezifisch für eine Clientanwendung sind. Diese Schlüssel können als Ersatz für die Standardanmeldung verwendet werden, wenn die Anwendung weder OTP noch U2F unterstützt. Der typische Anwendungsfall ist ein Mailserver, auf den über mobile Geräte zugegriffen wird. Die Mailclients auf den Geräten werden mit dem Passwort der Mailserver-Anwendung konfiguriert, um die Eingabe des OTP-Passworts bei jeder Verbindung zu vermeiden.

Die kontextbezogene Authentifizierung von OpenOTP kann die Sicherheitsanforderungen für eine Benutzeranmeldung intelligent senken, wenn ein vertrauenswürdiger Kontext validiert wird. Der vertrauenswürdige Anmeldekontext basiert auf den IP-Adressen des Benutzers in Kombination mit den Fingerabdrücken des Clientgeräts. Wenn einem Anmeldekontext vertraut wird, meldet sich der Benutzer mit einem einzigen Faktor (dem Domänenkennwort) an. Wenn ein Anmeldefehler auftritt, wird Multifaktor erneut erzwungen.

Mit der OpenOTP QRCode-Schlüsselbereitstellung war die Token-Selbstregistrierung noch nie so einfach. Es ist keine manuelle Token-Konfiguration oder geheime Schlüsseleingabe erforderlich: Mit Google Authenticator oder FreeOTP registrieren Benutzer ihren Software-Token einfach durch Scannen eines Registrierungs-QRCodes auf ihrem iPhone oder Android-Mobilgerät. Bei anderen Software-Token scannen Benutzer einfach den angezeigten Token-Schlüssel mit einem Barcode-Lesegerät und kopieren ihn zur Registrierung in ihren Token-Schlüssel.

Software-Token-Technologien erfordern, dass der Endbenutzer die mobile Software herunterlädt, das mobile Token auf dem Authentifizierungsserver registriert und manchmal den OTP-Generator neu synchronisiert. OpenOTP umfasst Endbenutzer-Webanwendungen (SelfDesk und SelfReg), um die Bereitstellung Ihrer Lösung so weit wie möglich zu vereinfachen. Die Self Services von RCDevs bieten Endbenutzerportale zur Selbstverwaltung, die in Ihrem Unternehmens- oder öffentlichen Netzwerk veröffentlicht werden.
RCDevs SelfDesk ermöglicht es Endbenutzern, einige persönliche Einstellungen selbst zu konfigurieren, ihre Kontoinformationen (z. B. Handynummer oder E-Mail-Adresse) zu aktualisieren, ihre Software-Token herunterzuladen, zu registrieren und erneut zu synchronisieren.
SelfReg ist eine weitere WebApp, bei der Administratoren eine Benutzer-E-Mail mit einer einmaligen Selbstregistrierungs-URL auslösen können. Durch Anklicken der URL und Eingabe seines Passworts kann der Benutzer Token registrieren, erneut synchronisieren und testen.
PwReset ermöglicht es Benutzern, ihre verlorenen oder abgelaufenen Domain-Passwörter mit Token / SMS OTP, PKI und sogar U2F sicher zurückzusetzen.

OpenOTP erfüllt die höchsten Sicherheitsanforderungen durch die Unterstützung von Hardware Security Modules (HSM). Die YubiHSM-Hardware-Module von Yubico (https://www.yubico.com/products/yubihsm/) können verwendet werden, um Hardware-Kryptographie in OpenOTP mit AES-Verschlüsselung von Token-Seeds und echter Zufallsgenerierung für SMS/E-Mail-OTPs durchzusetzen, OCRA Herausforderungen, OTP-Listen. Der Einsatz von HSM-Modulen in OpenOTP ist 100% transparent und die Migration zur Hardware-Kryptografie kann jederzeit ohne Beeinträchtigung Ihres Geschäfts erfolgen. Der RCDevs WebADM-Server unterstützt bis zu 8 HSM-Module im Hot-Plug-Modus für Fehlertoleranz und erhöhte Leistung.

Trusts sind spezielle Domänen, die nicht einer Gruppe lokaler LDAP-Benutzer entsprechen, sondern einer Gruppe von Benutzern in einer Remote-OpenOTP-Installation. Das Trust-System funktioniert wie ein Authentifizierungs-Proxy für Remotedomänen (innerhalb einer vertrauenswürdigen Organisation) und ordnet einen lokalen virtuellen Domänennamen einer Remotedomäne auf einem anderen WebADM-Server zu.