使用标准 USB 闪存盘作为安全令牌

使用标准 USB 闪存盘作为安全令牌

我们希望公司用户能够使用 USB 闪存盘或其他设备登录计算机。有没有办法实现此目的而无需从公司购买 USB 令牌?

答案1

安全令牌是防篡改处理器。USB 闪存盘是存储介质。从根本上说,它们是两个不同的东西。你正在比较苹果和橘子。

安全令牌包含无法(轻易)从设备中删除的秘密(私钥、随机数生成器种子等)。这种防篡改特性是设备(以及基于这些设备的整个系统)具有任何安全属性的原因。您可以相当肯定地说,安全令牌中的位仅存在于该令牌内,并且无法复制到其他令牌/设备。

USB 闪存盘(至少绝大多数)不是主动处理元件。它们无法执行加密操作(对消息进行签名、生成消息的 HMAC 等),并且它们存储的位在设计上很容易被复制。

恶意攻击者(包括被感染的计算机,对于物理连接到计算机的安全令牌的情况)无法从安全令牌中窃取秘密(至少,这是想法)。

答案2

大多数 USB 闪存盘都不是为此设计的。您可以看看价格较便宜的 Yubico。

您是否打算将 USB 设备用作唯一的身份验证机制?我认为不是,但如果是这样,请考虑一下如果设备丢失,或者办公室下属“借用”了总经理的设备,或者有人将设备忘在家里会发生什么。

有一些 USB 设备可以复制智能卡证书存储功能,因此值得一看 - 但据我所知,它们都是您想要避免的“USB 令牌”。

答案3

您可以将受密码保护的私钥存储在 USB 闪存驱动器上,并在身份验证中使用它。不确定如何让用户轻松完成此操作(取决于您的操作系统),但这是一个选择。

正如指出的那样,您可能不希望这是唯一的身份验证,因为它可能被盗、丢失等。但它很便宜,并且算作三因素身份验证的一部分,我想这正是您想要实现的。

回答你问题中的“其他”部分——我一直在使用Swivel 的 PINsafe产品已经使用了几年,它提供了所谓的 2.5 因素身份验证。它并没有完全满足您的需求,但在对产品进行初始投资后,您无需支付分发任何设备的费用,但对于除最复杂的键盘记录器之外的所有设备而言,它都非常安全。如果您担心这一点,您可能不会寻找便宜的解决方案 :-)

答案4

clauer.nisu.org 能满足您的需求吗?它尝试在标准 USB 设备上创建隐藏分区。但是,它需要特定程序和一些相当高级的设置才能运行。

相关内容