Aladdin eToken PASS、eToken NG-OTP─PASS屬事件型OTP，NG-OTP包含Token和OTP等兩種功能

這兩款Aladdin的動態密碼裝置（One-Time Password，OTP）可以整合企業原本透過RADIUS驗證的網路服務作為第2次的密碼檢查，以確保登入使用者身分的安全性。

eToken PASS是單純的事件型（Event-based）OTP裝置，而eToken NG-OTP的功能較多，在設計上不僅具備了OTP的完整能力，也同時內建了USB埠及1顆智慧卡晶片，可以做為Token使用。

需預先安裝專用的TMS軟體元件
除了硬體裝置之外，軟體套件是構成這2款OTP產品的另外一項主要元件，因此我們必須在企業內部的一臺Windows伺服器上，安裝Aladdin 的Token Management System（TMS）軟體。

和市面上其他OTP產品不同的是，TMS本身並未提供RADIUS伺服器的功能，架構上需要搭配現有的RADIUS伺服器（以微軟的IAS為主），以及做為帳號資料庫的Windows AD，才能正常運作。

透過這2款OTP裝置驗證使用者身分時，最常見的方式就是在原本的帳號後方，加上由裝置動態產生的1組6位數字密碼，該組密碼並沒有使用時間上的限制，只要未經TMS的驗證，或者裝置尚未產生更新一組的密碼的情況下，仍舊有效。

除此之外，密碼的格式也可以依據企業需求設定為單純使用動態密碼，或者採用裝置PIN碼（產品背面的印刷序號）加上動態密碼的方式進行驗證。

支援兩種未加密的RADIUS驗證協定
在RADIUS的驗證協定方面，TMS支援PAP及CHAP兩種未加密的協定類型，至於無線網路採用的EAP，則不包含在產品的支援範圍之內（大多數的OTP產品也同樣不支援該協定），因此目前暫時無法在802.1x的環境下，整合OTP驗證使用者電腦是否有連接企業無線網路的權限。

實際測試時，我們在一臺Windows AD伺服器，同時安裝了IAS，以及TMS軟體，透過部署在閘道端的Billion BiGuard S3000設備，驗證SSL VPN使用者的登入權限，設定方式相當容易，僅需在SSL VPN的網頁介面定義好RADIUS伺服器的所在IP位址，以及輸入連線密碼之後，即可在透過RADIUS伺服器驗證使用者身分的情況下，同時使用OTP進行第2次的密碼檢查。

提供AD和網頁型式的管理介面
由於這套產品提供網頁型式的管理介面，因此我們必須在安裝TMS軟體的同一臺電腦上安裝IIS伺服器，在此可以將OTP裝置指派給特定的網域使用者。預設情況下，當使用者連續5次使用OTP所產生的動態密碼，而未能通過驗證時，TMS會自動鎖定裝置，使其暫時失去功能。

TMS的軟體元件可以內嵌到Windows AD，而成為群組原則的一部分，並依據各個群組單位的需求不同，而套用不同的OTP管理設定。文⊙楊啟倫