Conheço cartões inteligentes para login em computadores habilitados para diretório ativo, mas queria saber se existe uma solução menos restritiva (e menos dispendiosa).
Estou procurando algo como um utilitário que me permita gerar "arquivos de login" assinados, então posso simplesmente copiar esses arquivos paraqualquerdisco usb. Quando o usuário deseja fazer login, basta conectar a chave USB com o arquivo e o login é automático.
Obviamente eu (como administrador) poderia simplesmente revogar esses arquivos assinados e gerar novos arquivos assinados sempre que necessário.
Existe tal utilitário/solução?
Responder1
Não exatamente. Você não pode usar nenhum meio de armazenamento antigo. Eles fazem USB Smart Sticks (cartão inteligente em forma de stick USB, na verdade). O problema está em como funciona a verificação com cartões inteligentes.
Esta é a versão genérica/simplificada do processo: A aplicação "servidor" conhece o certificado público do cartão inteligente. Ele cria um nonce e o criptografa com o certificado público. Em seguida, ele envia o nonce criptografado ao cliente; cliente encaminhá-lo para o cartão inteligente. O cartão inteligente descriptografa-o com a chave privada; o nonce é então enviado de volta ao servidor (geralmente criptografado novamente, mas isso é trivial para esse processo).
Observe que o computador cliente nunca vê o certificado privado. Desta forma o computador cliente não poderá fazer cópia do certificado privado e o token será sempre necessário para autenticação. Se pudesse ser copiado, seria inseguro; um "criminoso" poderia copiar seu cartão, devolvê-lo e você não saberia que ele possui seu mecanismo de autenticação.
Cartões inteligentes para login PKI (login do Windows AD) não são muito caros* se você evitar as soluções empacotadas. É claro que essas soluções empacotadas facilitam todo o processo e exigem muito menos conhecimento de sua parte.
*Athena fabrica um cartão inteligente PKI por US$ 36 cada(mais barato a granel).
*Aladdin fabrica um eToken Pro USB por US$ 65
Nota lateral: eu realmente não recomendaria o uso de tokens para substituir completamente as senhas. No mínimo, recomendo emitir as chaves privadas com uma senha e definir o prazo de validade para um ano; até mesmo uma senha simples seria muito eficaz nessa situação (embora você ainda deva evitar palavras de dicionário e qualquer coisa flagrantemente óbvia).
Responder2
Se você estiver procurando outro sistema de autenticação de dois fatores, há uma série de possibilidades além daquelas baseadas em cartão inteligente, comoHOTP(US$ 5 ou menos).