Active Directory 지원 컴퓨터에 로그인하기 위한 스마트 카드에 대해 알고 있지만 덜 제한적이고 저렴한 솔루션이 있는지 궁금합니다.
서명된 "로그인 파일"을 생성할 수 있는 유틸리티 같은 것을 찾고 있습니다. 그런 다음 이 파일을 다음 위치에 복사하면 됩니다.어느USB 디스크. 사용자가 로그인을 원할 때 파일이 들어 있는 USB 키를 연결하기만 하면 자동으로 로그인됩니다.
분명히 나(관리자)는 필요할 때마다 서명된 파일을 취소하고 새로 서명된 파일을 생성할 수 있습니다.
그러한 유틸리티/솔루션이 있습니까?
답변1
정확히. 오래된 저장매체는 사용할 수 없습니다. 그들은 USB 스마트 스틱(실제로는 USB 스틱 형태의 스마트 카드)을 만듭니다. 문제는 스마트 카드를 사용한 확인이 작동하는 방식에 있습니다.
이는 프로세스의 일반/간단화된 버전입니다. "서버" 응용 프로그램은 스마트 카드의 공개 인증서를 알고 있습니다. Nonce를 생성하고 이를 공개 인증서로 암호화합니다. 그런 다음 암호화된 nonce를 클라이언트에 보냅니다. 클라이언트는 이를 스마트 카드로 전달합니다. 스마트 카드는 개인 키를 사용하여 이를 해독합니다. 그런 다음 nonce는 서버로 다시 전송됩니다(일반적으로 다시 암호화되지만 이 프로세스에서는 사소한 일입니다).
클라이언트 컴퓨터에는 개인 인증서가 표시되지 않습니다. 이렇게 하면 클라이언트 컴퓨터가 개인 인증서의 복사본을 만들 수 없으며 인증을 위해 토큰이 항상 필요합니다. 복사할 수 있다면 안전하지 않습니다. "범죄자"가 귀하의 카드를 복사하여 반환할 수 있으며 귀하는 그들이 귀하의 인증 메커니즘을 가지고 있다는 사실을 알지 못할 것입니다.
패키지 솔루션을 피한다면 PKI 로그인용 스마트 카드(Windows AD 로그인)는 그다지 비싸지 않습니다*. 물론 이러한 패키지 솔루션은 전체 프로세스를 더 쉽게 만들고 귀하의 지식이 훨씬 적게 필요합니다.
*Athena는 개당 36달러에 PKI 스마트 카드를 만듭니다.(대량으로 저렴합니다).
*Aladdin은 65달러에 eToken Pro USB를 만듭니다.
참고 사항: 비밀번호를 완전히 대체하기 위해 토큰을 사용하는 것은 권장하지 않습니다. 다른 것이 없다면 비밀번호와 함께 개인 키를 발급하고 만료일을 1년으로 설정하는 것이 좋습니다. 이 상황에서는 간단한 비밀번호라도 매우 효과적입니다(단, 사전에 나오는 단어나 너무 뻔한 단어는 피해야 합니다).
답변2
다른 이중 인증 시스템을 찾고 있다면 스마트 카드 기반 시스템 외에도 다음과 같은 다양한 가능성이 있습니다.핫프($5 이하).