Verwenden Sie ein Standard-USB-Flash-Laufwerk als Sicherheitstoken
8
Wir möchten, dass unsere Benutzer in der Firma ihre Computer mit ihren USB-Sticks oder etwas anderem anmelden. Gibt es eine Möglichkeit, dies zu erreichen, ohne einen USB-Token von einem Unternehmen zu kaufen?
Sicherheitstoken sind manipulationssichere Prozessoren. USB-Sticks sind Speichermedien. Diese Dinge sind im Grunde zwei verschiedene Dinge. Sie vergleichen Äpfel und Orangen.
Ein Sicherheitstoken enthält ein Geheimnis (privater Schlüssel, Startwert des Zufallszahlengenerators usw.), das nicht (einfach) vom Gerät entfernt werden kann. Diese Manipulationssicherheit ist der Grund dafür, dass das Gerät (und in der Tat ein ganzes System, das auf diesen Geräten basiert) Sicherheitseigenschaften aufweist. Sie können mit hinreichender Sicherheit sagen, dass die Bits im Sicherheitstoken nur in diesem Token vorhanden sind und nicht auf andere Token / Geräte kopiert werden können.
Ein USB-Flash-Laufwerk (zumindest die überwiegende Mehrheit) sind keine aktiven Verarbeitungselemente. Sie können keine kryptografischen Operationen ausführen (Signieren einer Nachricht, Generieren des HMAC einer Nachricht usw.), und die von ihnen gespeicherten Bits sind von Natur aus einfach zu kopieren.
Ein böswilliger Angreifer (einschließlich eines kompromittierten Computers im Fall von Sicherheitstoken, die physisch an den Computer angeschlossen sind) kann das Geheimnis eines Sicherheitstokens nicht stehlen (zumindest ist das die Idee).
Die meisten USB-Sticks sind nicht dafür ausgelegt. Sie könnten sich Yubico am billigeren Ende des Spektrums ansehen.
Beabsichtigen Sie, das USB-Gerät als einzigen Authentifizierungsmechanismus zu verwenden? Ich nehme nicht an, aber wenn ja, überlegen Sie, was passiert, wenn es verloren geht oder wenn einer der Office-Junioren das Gerät des General Managers "ausleiht" oder wenn jemand es zu Hause lässt.
Es gibt USB-Geräte, die die Speicherfunktionen für Smartcard-Zertifikate duplizieren, sodass es sich lohnen könnte, einen Blick darauf zu werfen - aber AFAIK sind alle "USB-Token", die Sie vermeiden möchten.
Sie haben eigentlich vollkommen recht, aber wir möchten es zuerst in einer Beispielumgebung versuchen.
Harun Baris Bulut
1
Sie können einfach einen passwortgeschützten privaten Schlüssel auf einem USB-Flash-Laufwerk speichern und diesen für Ihre Authentifizierung verwenden. Ich bin mir nicht sicher, wie Sie dies dem Benutzer leicht machen würden (abhängig von Ihrem Betriebssystem), aber es ist eine Option.
Wie bereits erwähnt, möchten Sie wahrscheinlich nicht, dass dies die einzige Authentifizierung ist, da sie gestohlen werden kann, verloren geht usw. Aber es wäre billig und zählt als Teil der Drei-Faktor-Authentifizierung, was ich denke, was Sie versuchen leisten.
Beantwortung des Teils "etwas anderes" Ihrer Frage - Ich verwende seit einigen Jahren das PINsafe- Produkt von Swivel , das eine sogenannte 2,5-Faktor-Authentifizierung bietet. Es gibt nicht ganz das, wonach Sie suchen, aber nach der ersten Investition in das Produkt haben Sie nicht die Kosten für den Vertrieb von Geräten, sondern sind ziemlich sicher gegen alle außer den ausgefeiltesten Key Loggern. Wenn Sie sich darüber Sorgen machen würden, würden Sie wahrscheinlich nicht nach einer billigen Lösung suchen :-)
Würde clauer.nisu.org Ihren Zweck erfüllen? Es wird versucht, eine versteckte Partition auf einem Standard-USB-Gerät zu erstellen. Es erfordert jedoch bestimmte Programme und einige ziemlich fortgeschrittene Einstellungen, um loszulegen.
Antworten:
Sicherheitstoken sind manipulationssichere Prozessoren. USB-Sticks sind Speichermedien. Diese Dinge sind im Grunde zwei verschiedene Dinge. Sie vergleichen Äpfel und Orangen.
Ein Sicherheitstoken enthält ein Geheimnis (privater Schlüssel, Startwert des Zufallszahlengenerators usw.), das nicht (einfach) vom Gerät entfernt werden kann. Diese Manipulationssicherheit ist der Grund dafür, dass das Gerät (und in der Tat ein ganzes System, das auf diesen Geräten basiert) Sicherheitseigenschaften aufweist. Sie können mit hinreichender Sicherheit sagen, dass die Bits im Sicherheitstoken nur in diesem Token vorhanden sind und nicht auf andere Token / Geräte kopiert werden können.
Ein USB-Flash-Laufwerk (zumindest die überwiegende Mehrheit) sind keine aktiven Verarbeitungselemente. Sie können keine kryptografischen Operationen ausführen (Signieren einer Nachricht, Generieren des HMAC einer Nachricht usw.), und die von ihnen gespeicherten Bits sind von Natur aus einfach zu kopieren.
Ein böswilliger Angreifer (einschließlich eines kompromittierten Computers im Fall von Sicherheitstoken, die physisch an den Computer angeschlossen sind) kann das Geheimnis eines Sicherheitstokens nicht stehlen (zumindest ist das die Idee).
quelle
Die meisten USB-Sticks sind nicht dafür ausgelegt. Sie könnten sich Yubico am billigeren Ende des Spektrums ansehen.
Beabsichtigen Sie, das USB-Gerät als einzigen Authentifizierungsmechanismus zu verwenden? Ich nehme nicht an, aber wenn ja, überlegen Sie, was passiert, wenn es verloren geht oder wenn einer der Office-Junioren das Gerät des General Managers "ausleiht" oder wenn jemand es zu Hause lässt.
Es gibt USB-Geräte, die die Speicherfunktionen für Smartcard-Zertifikate duplizieren, sodass es sich lohnen könnte, einen Blick darauf zu werfen - aber AFAIK sind alle "USB-Token", die Sie vermeiden möchten.
quelle
Sie können einfach einen passwortgeschützten privaten Schlüssel auf einem USB-Flash-Laufwerk speichern und diesen für Ihre Authentifizierung verwenden. Ich bin mir nicht sicher, wie Sie dies dem Benutzer leicht machen würden (abhängig von Ihrem Betriebssystem), aber es ist eine Option.
Wie bereits erwähnt, möchten Sie wahrscheinlich nicht, dass dies die einzige Authentifizierung ist, da sie gestohlen werden kann, verloren geht usw. Aber es wäre billig und zählt als Teil der Drei-Faktor-Authentifizierung, was ich denke, was Sie versuchen leisten.
Beantwortung des Teils "etwas anderes" Ihrer Frage - Ich verwende seit einigen Jahren das PINsafe- Produkt von Swivel , das eine sogenannte 2,5-Faktor-Authentifizierung bietet. Es gibt nicht ganz das, wonach Sie suchen, aber nach der ersten Investition in das Produkt haben Sie nicht die Kosten für den Vertrieb von Geräten, sondern sind ziemlich sicher gegen alle außer den ausgefeiltesten Key Loggern. Wenn Sie sich darüber Sorgen machen würden, würden Sie wahrscheinlich nicht nach einer billigen Lösung suchen :-)
quelle
Würde clauer.nisu.org Ihren Zweck erfüllen? Es wird versucht, eine versteckte Partition auf einem Standard-USB-Gerät zu erstellen. Es erfordert jedoch bestimmte Programme und einige ziemlich fortgeschrittene Einstellungen, um loszulegen.
quelle