Les mots de passe d'application sont de longues clés aléatoires qui peuvent être générées par les utilisateurs dans les Self-Services et sont spécifiques à une application cliente. Ces clés peuvent être utilisées en remplacement de la connexion par défaut lorsque l'application ne prend pas en charge OTP ni FIDO2. Le cas d'utilisation typique est un serveur de messagerie accessible via des appareils mobiles. Les clients de messagerie sur les appareils sont configurés avec le mot de passe de l'application de serveur de messagerie pour éviter de saisir le mot de passe OTP à chaque connexion.

L'authentification contextuelle OpenOTP est capable de réduire intelligemment les exigences de sécurité pour une connexion utilisateur lorsqu'un contexte de confiance est validé. Le contexte de connexion sécurisé repose sur les adresses IP de l'utilisateur combinées aux empreintes digitales de l'appareil client. Lorsqu'un contexte de connexion est approuvé, l'utilisateur se connecte avec un seul facteur (le mot de passe du domaine). Si un échec de connexion se produit, le multifacteur est à nouveau appliqué.

Avec le provisionnement de clés OpenOTP QRCode, l'auto-enregistrement de jetons n'a jamais été aussi simple. Aucune configuration manuelle de jeton ou saisie de clé secrète n'est requise : avec le jeton OpenOTP, les utilisateurs enregistrent leur jeton logiciel simplement en scannant un QRCode d'enregistrement sur leur appareil mobile iOS ou Android.

Les technologies de jeton logiciel nécessitent que l'utilisateur final télécharge le logiciel mobile, enregistre le jeton mobile sur le serveur d'authentification et resynchronise parfois le générateur OTP. OpenOTP inclut des applications Web pour l'utilisateur final (SelfDesk et SelfReg) pour simplifier au maximum le déploiement de votre solution. Les Self Services de RCDevs fournissent des portails pour les utilisateurs finaux à publier sur votre réseau d'entreprise ou public.

- L'application Web SelfDesk permet aux utilisateurs finaux de configurer eux-mêmes certains paramètres personnels, de mettre à jour leurs informations de compte (par exemple, leur numéro de téléphone portable ou leur adresse e-mail), de télécharger, d'enregistrer et de resynchroniser leurs jetons.

- L'application Web SelfReg permet aux administrateurs de déclencher un e-mail utilisateur avec une URL d'auto-inscription unique. En cliquant sur l'URL et en saisissant son mot de passe, l'utilisateur peut enregistrer, resynchroniser et tester les jetons.

- L'application Web Password Reset permet aux utilisateurs de réinitialiser en toute sécurité leurs mots de passe de domaine perdus ou expirés avec un jeton / SMS OTP, PKI et même FIDO2.

- La web app Helpdesk permet de fédérer la 1ère ligne de support. L'équipe de support Helpdesk peut aider les utilisateurs finaux avec des besoins de base tels que changer leur mot de passe, email, numéro de téléphone, etc. Il leur donne également accès à leurs jetons et à leurs paramètres, historique de connexion, SSO, SSH et PKI.

OpenOTP est conforme aux exigences de sécurité les plus élevées en prenant en charge les modules de sécurité matérielle (HSM). Les modules matériels YubiHSM de Yubico (https://www.yubico.com/products/yubihsm/) peuvent être utilisés afin d'appliquer la cryptographie matérielle dans OpenOTP avec cryptage AES des graines de jetons et génération aléatoire véritable pour les OTP SMS/Email, OCRA défis, listes OTP. L'utilisation des modules HSM dans OpenOTP est 100% transparente et la migration vers la cryptographie matérielle peut se faire à tout moment sans impacter votre activité. Le serveur RCDevs WebADM prend en charge jusqu'à 8 modules HSM en mode hot-plug pour une tolérance aux pannes et des performances accrues.

Les trusts sont des domaines spéciaux qui ne correspondent pas à un ensemble d'utilisateurs LDAP locaux mais à un ensemble d'utilisateurs sur une installation OpenOTP distante. Le système de confiance fonctionne comme un proxy d'authentification pour les domaines distants (au sein d'une organisation de confiance) et mappe un nom de domaine virtuel local à un domaine distant sur un autre serveur WebADM.