我们希望公司中的用户使用其USB闪存盘或其他某种方式登录他们的计算机。有没有一种方法可以在不从公司购买USB令牌的情况下实现?
只需购买yubico.com/products/yubikey-hardware
—
Jacob Evans
我们希望公司中的用户使用其USB闪存盘或其他某种方式登录他们的计算机。有没有一种方法可以在不从公司购买USB令牌的情况下实现?
Answers:
安全令牌是防篡改的处理器。USB闪存盘是存储介质。从根本上说,这些东西是两个不同的东西。您正在比较苹果和桔子。
安全令牌包含无法(轻松)从设备中删除的秘密(私钥,随机数生成器种子等)。这种防篡改是设备(以及实际上基于这些设备的整个系统)具有任何安全属性的原因。您可以肯定地说,安全令牌内的位仅存在于该令牌内,不能复制到其他令牌/设备。
USB闪存盘(至少绝大多数)不是活动的处理元素。他们无法执行加密操作(签名消息,生成消息的HMAC等),并且根据设计,他们存储的位易于复制。
恶意攻击者(包括损坏的计算机,就算是物理连接到计算机的安全令牌而言)也无法从安全令牌中窃取机密(至少是这样)。
大多数USB闪存盘都不是为此目的而设计的。您可以看看价格便宜的Yubico。
您打算将USB设备用作唯一的身份验证机制吗?我认为不是,但是如果是这样,请考虑如果丢失了该设备,或者如果一位办公初级人员“借用”了总经理的设备,或者有人将其留在家中,该怎么办。
有些USB设备具有智能卡证书存储功能,因此值得一看-但AFAIK都是您要避免的“ USB令牌”。
您可以只将受密码保护的私钥存储在USB闪存驱动器上,然后在身份验证中使用它。不确定如何使用户轻松(取决于您的操作系统),但这是一个选择。
如前所述,您可能不希望这是唯一的身份验证,因为它可能被盗,丢失等。但是它很便宜,并且确实属于三因素身份验证的一部分,我想这就是您要尝试的方法。实现。
回答您问题的“其他”部分-我使用Swivel的PINsafe产品已经有几年了,这给了他们所谓的2.5因子认证。它并不能完全满足您的需求,但是在对该产品进行了最初的投资之后,您无需承担分发任何设备的费用,但是对于最复杂的键盘记录程序而言,它是非常安全的。如果您对此感到担心,则可能不会在寻找便宜的解决方案:-)