Поиск варианта смарт-карты

Question 1

Не совсем. Вы не можете использовать любой старый носитель информации. Они делают USB Smart Sticks (на самом деле смарт-карты в форме USB-флешки). Проблема в том, как работает проверка с помощью смарт-карт.

Это общая/упрощенная версия процесса: приложение «сервера» знает открытый сертификат смарт-карты. Оно создает одноразовый номер и шифрует его с помощью открытого сертификата. Затем оно отправляет зашифрованный одноразовый номер клиенту; клиент пересылает его на смарт-карту. Смарт-карта расшифровывает его с помощью закрытого ключа; затем одноразовый номер отправляется обратно на сервер (обычно повторно шифруемый, но это тривиально для этого процесса).

Обратите внимание, что клиентский компьютер никогда не видит личный сертификат. Таким образом, клиентский компьютер не может сделать копию личного сертификата, а токен всегда нужен для аутентификации. Если бы его можно было скопировать, то это было бы небезопасно; «преступник» мог бы скопировать вашу карту, вернуть ее, и вы бы не знали, что у него есть ваш механизм аутентификации.

Смарт-карты для входа в PKI (вход в Windows AD) не так уж и дороги*, если вы избегаете пакетных решений. Конечно, эти пакетные решения упрощают весь процесс и требуют гораздо меньше знаний с вашей стороны.

*Athena выпускает смарт-карты PKI по цене 36 долларов за штуку(оптом дешевле).
*Aladdin выпускает eToken Pro USB за 65 долларов

Примечание: Я бы действительно не рекомендовал использовать токены для полной замены паролей. Если нет ничего другого, я бы рекомендовал выдавать закрытые ключи с паролем и устанавливать срок действия на год; даже простой пароль был бы очень эффективен в этой ситуации (хотя вам все равно следует избегать слов из словаря и всего очевидного).

Answer

Не совсем. Вы не можете использовать любой старый носитель информации. Они делают USB Smart Sticks (на самом деле смарт-карты в форме USB-флешки). Проблема в том, как работает проверка с помощью смарт-карт.

Это общая/упрощенная версия процесса: приложение «сервера» знает открытый сертификат смарт-карты. Оно создает одноразовый номер и шифрует его с помощью открытого сертификата. Затем оно отправляет зашифрованный одноразовый номер клиенту; клиент пересылает его на смарт-карту. Смарт-карта расшифровывает его с помощью закрытого ключа; затем одноразовый номер отправляется обратно на сервер (обычно повторно шифруемый, но это тривиально для этого процесса).

Обратите внимание, что клиентский компьютер никогда не видит личный сертификат. Таким образом, клиентский компьютер не может сделать копию личного сертификата, а токен всегда нужен для аутентификации. Если бы его можно было скопировать, то это было бы небезопасно; «преступник» мог бы скопировать вашу карту, вернуть ее, и вы бы не знали, что у него есть ваш механизм аутентификации.

Смарт-карты для входа в PKI (вход в Windows AD) не так уж и дороги*, если вы избегаете пакетных решений. Конечно, эти пакетные решения упрощают весь процесс и требуют гораздо меньше знаний с вашей стороны.

*Athena выпускает смарт-карты PKI по цене 36 долларов за штуку(оптом дешевле).
*Aladdin выпускает eToken Pro USB за 65 долларов

Примечание: Я бы действительно не рекомендовал использовать токены для полной замены паролей. Если нет ничего другого, я бы рекомендовал выдавать закрытые ключи с паролем и устанавливать срок действия на год; даже простой пароль был бы очень эффективен в этой ситуации (хотя вам все равно следует избегать слов из словаря и всего очевидного).

Question 2

Если вы ищете другую систему двухфакторной аутентификации, есть ряд возможностей, отличных от систем на основе смарт-карт, таких какХОТП(5 долларов или меньше).

Answer

Если вы ищете другую систему двухфакторной аутентификации, есть ряд возможностей, отличных от систем на основе смарт-карт, таких какХОТП(5 долларов или меньше).

Поиск варианта смарт-карты

решение1

решение2

Связанный контент