Мы хотим, чтобы наши пользователи в компании подключались к своим компьютерам с помощью USB-дисков или чего-то еще. Есть ли способ добиться этого без покупки USB-токена у компании?
Ответы:
Жетоны безопасности являются стойкими к взлому процессорами. Флэш-диски USB являются носителями информации. Эти вещи, по сути, две разные вещи. Вы сравниваете яблоки и апельсины.
Маркер безопасности содержит секрет (закрытый ключ, начальное число генератора случайных чисел и т. Д.), Который нельзя (легко) удалить с устройства. Это сопротивление несанкционированного доступа является причиной того, что устройство (и, действительно, вся система, основанная на этих устройствах) имеет какие-либо свойства безопасности. Можно с достаточной степенью уверенности сказать, что биты внутри токена безопасности существуют только внутри этого токена и не могут быть скопированы на другие токены / устройства.
Флэш-накопители USB (по крайней мере, в подавляющем большинстве) не являются активными элементами обработки. Они не могут выполнять криптографические операции (подписывать сообщение, генерировать HMAC сообщения и т. Д.), А сохраняемые биты по своей конструкции легко копируются.
Злонамеренный злоумышленник (в том числе скомпрометированный компьютер, в случае маркеров безопасности, которые физически подключены к компьютеру) не может украсть секрет из маркера безопасности (по крайней мере, такова идея).
Большинство USB-флешек не предназначены для этого. Вы могли бы взглянуть на Юбико в более дешевом конце спектра.
Вы собираетесь использовать устройство USB в качестве единственного механизма аутентификации? Я полагаю, что нет, но если это так, подумайте, что произойдет, если он потерян, или если один из офисных младших «заимствует» устройство генерального менеджера, или если кто-то оставит его дома.
Существуют USB-устройства, которые дублируют функциональность хранилища сертификатов смарт-карт, так что на них стоит обратить внимание - но, AFAIK, это все «USB-токены», которых вы хотите избежать.
Вы можете просто сохранить защищенный паролем закрытый ключ на флэш-накопителе USB и использовать его при аутентификации. Не уверен, как вы могли бы сделать это легко для пользователя (зависит от вашей ОС), но это вариант.
Как уже отмечалось, вы, вероятно, не хотите, чтобы это была единственная аутентификация, так как она может быть украдена, утеряна и т. Д. Но это будет дешево и считается частью трехфакторной аутентификации, которую, я думаю, вы пытаетесь достичь.
Отвечая на «что-то еще» часть вашего вопроса - я использую продукт Swivel PINsafe в течение нескольких лет, который дает то, что они называют 2,5-факторной аутентификацией. Это не совсем то, что вы ищете, но после первоначальных вложений в продукт у вас нет затрат на распространение каких-либо устройств, но он довольно защищен от всех, кроме самых сложных регистраторов ключей. Если бы вы волновались об этом, вы, вероятно, не искали бы дешевое решение :-)
Будет ли clauer.nisu.org служить вашей цели? Он пытается создать скрытый раздел на стандартном USB-устройстве. Тем не менее, это требует определенных программ и некоторых довольно сложных настроек, чтобы начать работу.