我们希望我们公司的用户使用他们的 USB 闪存盘或其他东西登录他们的计算机。有没有办法在不从公司购买 USB 令牌的情况下实现这一目标?
AskOverflow.Dev
我们希望我们公司的用户使用他们的 USB 闪存盘或其他东西登录他们的计算机。有没有办法在不从公司购买 USB 令牌的情况下实现这一目标?
安全令牌是防篡改处理器。USB 闪存盘是存储介质。从根本上说,这些事情是两个不同的事情。你在比较苹果和橘子。
安全令牌包含不能(轻松)从设备中删除的秘密(私钥、随机数生成器种子等)。这种防篡改是设备(以及实际上基于这些设备的整个系统)具有任何安全属性的原因。您可以相当肯定地说,安全令牌中的位仅存在于该令牌内部,不能复制到其他令牌/设备。
USB 闪存盘(至少,绝大多数)不是活动处理元素。它们无法执行加密操作(签署消息、生成消息的 HMAC 等),并且它们存储的位在设计上很容易复制。
恶意攻击者(包括被破坏的计算机,在物理连接到计算机的安全令牌的情况下)不能从安全令牌中窃取秘密(至少,这是这样的想法)。
大多数 USB 闪存盘都不是为此而设计的。你可以看看更便宜的 Yubico。
您是否打算使用 USB 设备作为唯一的身份验证机制?我认为不会,但如果是这样,请考虑如果它丢失了,或者如果其中一名办公室初级人员“借用”了总经理的设备,或者如果有人把它留在家里,会发生什么。
有一些 USB 设备可以复制智能卡证书存储功能,因此值得一看 - 但 AFAIK 它们都是您想要避免的所有“USB 令牌”。
您可以将受密码保护的私钥存储在 USB 闪存驱动器上,并在身份验证中使用它。不确定如何让用户轻松完成此操作(取决于您的操作系统),但这是一种选择。
正如所指出的,您可能不希望这是唯一的身份验证,因为它可能会被盗、丢失等。但它会很便宜并且确实算作三因素身份验证的一部分,我想这就是您想要的达到。
回答您问题的“其他”部分 - 我已经使用Swivel 的 PINsafe产品几年了,它提供了他们所谓的 2.5 因素身份验证。它并不能完全满足您的需求,但在对产品进行初始投资之后,您无需支付任何分发设备的成本,但除了最复杂的键盘记录器之外,它对所有设备都非常安全。如果您担心这一点,您可能不会寻找便宜的解决方案:-)
clauer.nisu.org 会为您服务吗?它尝试在标准 USB 设备上创建隐藏分区。但是,它需要特定的程序和一些非常高级的设置才能开始。