Procurando pela variação do cartão inteligente

2

Eu sei sobre cartões inteligentes para login em computadores habilitados para diretório ativo, mas queria saber se há uma solução menos restritiva (e menos cara).

Eu estou procurando por algo como um utilitário que me permite gerar "arquivos de login" assinados, então eu posso simplesmente copiar esses arquivos para qualquer disco usb. Quando o usuário deseja fazer login, basta conectar a chave usb com o arquivo e fazer login automaticamente.

Obviamente, eu (como administrador) poderia simplesmente revogar esses arquivos assinados e gerar novos assinados sempre que necessário.

Existe tal utilitário / solução?

    
por Enriquev 11.08.2010 / 21:13

2 respostas

1

Não exatamente. Você não pode usar nenhum meio de armazenamento antigo. Eles fazem USB Smart Sticks (cartão inteligente na forma usb stick realmente). O problema está em como a verificação com cartões inteligentes funciona.

Esta é a versão genérica / simplificada do processo: o aplicativo "servidor" conhece o certificado público do cartão inteligente. Cria um nonce e o criptografa com o cert público. Em seguida, ele envia o nonce criptografado para o cliente; cliente encaminhar para o cartão inteligente. O cartão inteligente descriptografa-o com a chave privada; o nonce é então enviado de volta ao servidor (geralmente re-criptografado, mas isso é trivial para este processo).

Observe que o computador cliente nunca vê o certificado particular. Desta forma, o computador cliente não pode fazer uma cópia do certificado privado e o token é sempre necessário para autenticação. Se pudesse ser copiado, seria inseguro; um "criminoso" poderia copiar seu cartão, devolvê-lo e você não saberia que ele tem seu mecanismo de autenticação.

Cartões inteligentes para login PKI (login do Windows AD) não são muito caros * se você evitar as soluções compactadas. É claro que essas soluções empacotadas facilitam todo o processo e exigem muito menos conhecimento de sua parte.

* Athena faz um PKI Smart Card por $ 36 cada (mais barato a granel). < br> * Aladdin faz um eToken Pro USB por US $ 65

Nota: Eu realmente não recomendaria usar tokens para substituir completamente as senhas. Se nada mais, eu recomendo emitir as chaves privadas com uma senha e definir o prazo de validade de um ano; até mesmo uma senha simples seria muito eficaz nessa situação (embora você ainda deva evitar palavras de dicionário e qualquer coisa óbvia).

    
por 11.08.2010 / 21:44
0

Se você estiver procurando por outro sistema de autenticação de dois fatores, há várias outras possibilidades além das baseadas em cartão inteligente, como HOTP (US $ 5 ou menos).

    
por 12.08.2010 / 07:32