我知道可以使用智能卡登录启用活动目录的计算机,但想知道是否有限制较少(且更便宜)的解决方案。
我正在寻找一个类似实用程序的东西,可以让我生成签名的“登录文件”,然后我可以将这些文件复制到任何usb 盘。当用户想要登录时,他们只需插入存有文件的 usb 盘即可自动登录。
显然,我(作为管理员)可以简单地撤销这些签名的文件并在需要时生成新的签名文件。
有这样的实用程序/解决方案吗?
答案1
不完全是。您不能使用任何旧的存储介质。他们确实制造了 USB 智能棒(实际上是 USB 棒形式的智能卡)。问题在于智能卡的验证方式。
这是该过程的通用/简化版本:“服务器”应用程序知道智能卡的公共证书。它创建一个随机数并使用公共证书对其进行加密。然后它将加密的随机数发送给客户端;客户端将其转发到智能卡。智能卡使用私钥对其进行解密;然后将随机数发送回服务器(通常会重新加密,但这对这个过程来说很简单)。
请注意,客户端计算机永远不会看到私有证书。这样,客户端计算机就无法复制私有证书,并且始终需要令牌进行身份验证。如果令牌可以被复制,那么它就不安全了;“犯罪分子”可以复制您的卡,并将其归还,而您不知道他们拥有您的身份验证机制。
如果您不使用套装解决方案,用于 PKI 登录(Windows AD 登录)的智能卡并不昂贵*。当然,这些套装解决方案使整个过程更加简单,并且需要您掌握的知识更少。
*Athena 以每张 36 美元的价格制造 PKI 智能卡(批量购买更便宜)。
*Aladdin 推出售价 65 美元的 eToken Pro USB
附注:我真的不建议使用令牌完全取代密码。如果没有其他选择,我建议使用密码发布私钥,并将有效期设置为一年;在这种情况下,即使是简单的密码也会非常有效(尽管您仍应避免使用字典中的单词和任何明显的东西)。
答案2
如果你正在寻找其他双因素身份验证系统,除了基于智能卡的系统之外,还有许多其他可能性,例如氢键交换协议(5 美元或以下)。