<div dir="ltr">...by the way. This is probably the reason, why Red Hat uses the predecessor of privacyIDEA as central 2FA authentication system for the OTP authentication.<div><br></div><div>Kind regards</div><div>Cornelius<br><br>Am Freitag, 30. Dezember 2016 08:21:36 UTC+1 schrieb Cornelius Kölbel:<blockquote class="gmail_quote" style="margin: 0;margin-left: 0.8ex;border-left: 1px #ccc solid;padding-left: 1ex;"><div dir="ltr">Hi Jochen,<div><br></div><div>this is a very important point.</div><div>Every application is adopting two factor authentication with OTP. This is great - we always hoped for such a security awareness.</div><div>But the important difference is: </div><div>The common webapplication that finally will implement TOTP ("this cloudy algorithm which was invented by the Google Authenticator" ;-) ) manages the seeds/keys for these tokens. If the user uses a smartphone app the user will end up with an "OTP token" or "profile" in his App for every application.</div><div><br></div><div>Or he has to share the seeds one seed between all applications. And then he runs into the troubles mentioned earlier.</div><div><br></div><div>You perfectly pointed out, why you need a central authentication system for managing the second factors.</div><div>From a user experience point fo view the applications could also go for U2F. Then the user again will only have one device, which he needs tor register with each application...</div><div>...but there will be no "syncing" problem.</div><div><br></div><div>Kind regards</div><div>Cornelius</div><div><br><br>Am Donnerstag, 29. Dezember 2016 20:45:34 UTC+1 schrieb Jochen Hein:<blockquote class="gmail_quote" style="margin:0;margin-left:0.8ex;border-left:1px #ccc solid;padding-left:1ex">Martin Basti <<a href="mailto:mbasti@redhat.com" rel="nofollow" target="_blank" onmousedown="this.href='mailto:mbasti@redhat.com';return true;" onclick="this.href='mailto:mbasti@redhat.com';return true;">m...i@redhat.com</a>> writes:
<br>
<br><br>>>    But providing access to a Yubico Token via privacyidea works for all
<br>>>    cases I have in mind.
<br>>
<br>> How they are checking the valid tokes if they don't use its counter?
<br>
<br>Privacyidea is the "owner" of the token and has the secret and the
<br>counter stored. Every other system (e.g. pam_yubico or FreeIPA) is
<br>checking the validation against privacyiadea, either with the yubico
<br>protocol, the privacyidey validation, or RADIUS.
<br>
<br>Does this clarify the architecture of my system?
<br>
<br>Jochen
<br>
<br>-- 
<br>The only problem with troubleshooting is that the trouble shoots back.
<br></blockquote></div></div></blockquote></div></div>