OTP動態密碼裝置─全景MOTP Lite

全景MOTP是一款OTP（One-Time Password）動態密碼裝置，產品根據搭配管理伺服器套件的功能不同，可以分為企業版、標準版，以及我們這次測試的輕量版（Lite）。

就功能而言，輕量版最多可以管理5個OTP裝置，除此之外，它的管理伺服器具備RADIUS伺服器及帳號資料庫的設計，讓沒有部署AD的小型企業也能整合這款裝置，進一步強化VPN使用者登入內部網路時的驗證安全。

MOTP對於管理伺服器的系統要求並不高，它可以安裝在Windows XP一類的個人端系統上運作，然後透過網頁介面設定各項功能。除了預設的英文語系之外，我們也可以點選網頁右上方的按鍵，切換成繁體中文的語系，藉此降低產品設定上的難度。

由管理伺服器驗證帳號密碼的正確性
當使用者撥入VPN伺服器要求驗證之後，此時VPN伺服器會將使用者送出的帳號，以及包含OTP動態密碼在內的一串密碼，傳送給後端的RADIUS伺服器，也就是MOTP的管理伺服器，檢查內容是否正確，以便決定是否給予登入內部網路的權限。

MOTP支援的RADIUS驗證協定以PAP為主，因此以我們測試環境中的Windows Server 2003 PPTP VPN伺服器來說，必須修改RADIUS驗證方法的欄位，啟用PAP的驗證選項，同時個人端電腦的VPN連線軟體也必須指定以PAP做為驗證協定，才能成功通過驗證，建立VPN通道。

可透過兩種方式來驗證使用者身分真實性
MOTP主要利用兩種方式驗證使用者身分：預設是由使用者在VPN連線軟體的密碼欄位，輸入由OTP裝置動態產生的一組6位數密碼；其次則是在原本固定的密碼後方，輸入OTP的動態密碼，達成所謂的雙因數（Two-factor）驗證。

輕量版的MOTP可以透過手動操作或者是批次匯入兩種方式，在管理伺服器本機新增使用者帳號（標準版以上的MOTP，則具備連接AD及LDAP伺服器的能力）。在此同時，我們可以選擇僅指派OTP裝置給使用者，或者設定一組固定密碼，同時指派OTP裝置的做法，滿足上述兩種驗證方式的使用需求。


我們可以選擇僅指派OTP裝置給使用者，或者設定一組固定密碼，同時指派OTP裝置來驗證使用者身分。

在MOTP管理伺服器上指派OTP裝置的流程，就如同大多數的同類型產品，將裝置背後的序號輸入指派OTP裝置的欄位之後，就能將此一裝置撥交給指定的使用者。

對於僅需短暫開放VPN存取權限的企業來說，這時可以透過MOTP的管理伺服器建立臨時性的使用者帳號，此時只需要輸入欲開放使用的帳號名稱，以及用來寄送一組臨時動態密碼的信箱帳號即可完成設定，預設的有效期限是5天，過期之後便會自動失效。

為了避免裝置遺失而遭到其他人盜用，MOTP本身也有提供相當程度的安全機制。當使用者連續5次未能成功建立VPN連線，此時管理伺服器會自動停用此一裝置；待使用者本人，或者是管理者登入MOTP的網頁管理介面，在解鎖的表單輸入裝置序號，以及2次OTP密碼，完成伺服器與裝置之間的同步之後，才能再繼續使用。文⊙楊啟倫