Active Directory 対応のコンピュータにログインするためのスマート カードについては知っていますが、より制限の少ない (そしてより安価な) ソリューションがあるかどうか知りたいです。
署名された「ログインファイル」を生成できるユーティリティのようなものを探しています。これらのファイルをコピーするだけでどれでもUSB ディスク。ユーザーがログインしたいときは、ファイルが保存されている USB キーを差し込むだけで、自動的にログインされます。
明らかに、私 (管理者) は、これらの署名済みファイルを単に取り消し、必要に応じて新しい署名済みファイルを生成することができます。
そのようなユーティリティ/ソリューションはありますか?
答え1
正確にはそうではありません。古いストレージ メディアは使用できません。USB スマート スティック (実際には USB スティック形式のスマート カード) は製造されています。問題は、スマート カードによる検証がどのように機能するかにあります。
これは、プロセスの汎用/簡略化されたバージョンです。「サーバー」アプリケーションは、スマート カードの公開証明書を認識します。サーバーは nonce を作成し、それを公開証明書で暗号化します。次に、暗号化された nonce をクライアントに送信します。クライアントはそれをスマート カードに転送します。スマート カードはそれを秘密キーで復号化し、その後 nonce をサーバーに送り返します (通常は再暗号化されますが、このプロセスではそれは些細なことです)。
クライアント コンピュータはプライベート証明書を見ることはありません。この方法では、クライアント コンピュータはプライベート証明書のコピーを作成できず、認証には常にトークンが必要になります。トークンがコピーできると、安全ではなくなります。つまり、「犯罪者」がカードをコピーして返却しても、認証メカニズムが盗まれたことに気付かないでしょう。
PKI ログイン (Windows AD ログイン) 用のスマート カードは、パッケージ ソリューションを使用しない場合はそれほど高価ではありません*。もちろん、パッケージ ソリューションを使用すると、プロセス全体が簡単になり、必要な知識も大幅に減ります。
*AthenaはPKIスマートカードを1枚36ドルで販売(まとめ買いすると安くなります)。
*アラジンが65ドルでeToken Pro USBを発売
補足: トークンを使用してパスワードを完全に置き換えることはお勧めしません。少なくとも、秘密鍵をパスワード付きで発行し、有効期限を 1 年に設定することをお勧めします。この状況では、単純なパスワードでも非常に効果的です (ただし、辞書に載っている単語や、あからさまに明らかなものは避けてください)。
答え2
他の2要素認証システムをお探しの場合は、スマートカードベースのもの以外にも、次のようなさまざまな可能性があります。ホット(5ドル以下)。