Oath significa juramento en inglés, lo que nos da pie a hacer un chiste fácil: «por mis niños, que yo soy quien digo ser».

Proviene de los términos Open AuTHentication (autenticación abierta) y es una iniciativa que pretende lograr la interoperabilidad de los sistemas de autenticación del tipo OTP (One Time Password-  Claves de un solo uso).

Estos sistemas se denominan de doble factor («algo que tienes» y «algo que sabes») y suelen funcionar mediante un hash que se genera sobre una función en la que intervienen el tiempo (representado por un reloj interno en el dispositivo) y el identificador del dispositivo (su modelo y número de serie). 

En el pasado, empresas como Security Dynamics (que hoy opera con la marca RSA) lideraron este tipo de sistemas de autenticación (algo que ya comenté tras la adquisición de RSA por EMC2) que en la actualidad se ofrecen a través de diferentes proveedores:

• Aladdin Knowledge Systems Ltd
• Authenex, Inc
• Axalto Inc.
• Diversinet Corp.
• Gemplus Corp.
• Iteon
• RedCannon Security
• Vasco Data Security
• VeriSign Inc.

Por otro lado, RSA con su SecurID recibe el apoyo de SanDisk que también participa en OATH.

El sitio web oficial de OATH es Open Authentication.

Está disponible el código fuente en java del algoritmo HMAC  en en el sitio web del IETF.

Y en España, yo llevo un tiempo intentando que se adopte en Banca.