Vogliamo che i nostri utenti in azienda accedano ai loro computer utilizzando i loro dischi flash USB o qualcos'altro. C'è un modo per raggiungere questo obiettivo senza acquistare un token USB da un'azienda?
Risposte:
I token di sicurezza sono processori antimanomissione. I dischi flash USB sono supporti di memorizzazione. Queste cose sono fondamentalmente due cose diverse. Stai confrontando mele e arance.
Un token di sicurezza contiene una chiave segreta (chiave privata, seed del generatore di numeri casuali, ecc.) Che non può (facilmente) essere rimossa dal dispositivo. Questa resistenza alla manomissione è la ragione per cui il dispositivo (e, in effetti, un intero sistema basato su questi dispositivi) ha proprietà di sicurezza. Puoi affermare, con ragionevole certezza, che i bit all'interno del token di sicurezza esistono solo all'interno di quel token e non possono essere copiati su altri token / dispositivi.
Un disco flash USB (almeno, la stragrande maggioranza) non sono elementi di elaborazione attivi. Non possono eseguire operazioni di crittografia (firma di un messaggio, generazione dell'HMAC di un messaggio, ecc.) E i bit che memorizzano sono, per progettazione, facili da copiare.
Un utente malintenzionato (incluso un computer compromesso, nel caso di token di sicurezza collegati fisicamente al computer) non può sottrarre il segreto da un token di sicurezza (almeno, questa è l'idea).
La maggior parte dei dischi flash USB non è progettata per questo. Potresti dare un'occhiata a Yubico all'estremità più economica dello spettro.
Intendi utilizzare il dispositivo USB come unico meccanismo di autenticazione? Suppongo di no, ma in tal caso, considerare cosa succede se viene perso, o se uno dei junior dell'ufficio "prende in prestito" il dispositivo del direttore generale o se qualcuno lo lascia a casa.
Esistono dispositivi USB che duplicano la funzionalità di archiviazione dei certificati delle smart card per cui vale la pena guardarli, ma AFAIK sono tutti i "token USB" che si desidera evitare.
Potresti semplicemente archiviare una chiave privata protetta da password su un'unità flash USB e utilizzarla nella tua autenticazione. Non sono sicuro di come potresti renderlo facile per l'utente (dipende dal tuo sistema operativo), ma è un'opzione.
Come sottolineato, probabilmente non vuoi che questa sia l'unica autenticazione, in quanto può essere rubata, persa ecc. Ma sarebbe economica e conta come parte di un'autenticazione a tre fattori, che immagino sia ciò che stai cercando di raggiungere.
Rispondendo alla parte "qualcos'altro" della tua domanda: uso il prodotto PINsafe di Swivel da un paio d'anni, il che dà quella che chiamano autenticazione a fattore 2.5. Non dà esattamente quello che stai cercando, ma dopo l'investimento iniziale nel prodotto, non hai il costo di distribuire alcun dispositivo, ma è abbastanza sicuro contro tutti tranne i keylogger più elaborati. Se fossi preoccupato per questo, probabilmente non saresti alla ricerca di una soluzione economica :-)