我需要使用智能卡进行双重身份验证,因此我想使用密码和智能卡登录。我知道智能卡有密码,但我的公司不喜欢这种解决方案。有没有办法要求 AD 用户和密码以及智能卡登录。
答案1
如果我理解正确的话,您仍然想使用 AD 凭据登录,但使用智能卡,这样您仍然使用复杂的密码,而不是使用智能卡“密码”(即 PIN 码)?
您提到,如果使用 PIN,人们可能会使用“愚蠢”的数字,如电话号码等。但是,即使是使用智能卡的 6 位 PIN 也比传统的用户名/密码更安全。
即使有人使用自己的电话号码作为 PIN(当然不推荐),除非对手拥有 Yubikey,否则他们仍然无法破解帐户并登录。
这里的 2FA 指的是您知道和拥有的东西。窃取他人的 Yubikey 是一种有针对性的行动,这意味着对手离该人足够近,他们很可能已经以某种方式(例如肩窥)获得了密码。如果没有密码,窃取 Yubikey 就毫无意义。
另一种情况是如果有人丢失了他们的 Yubikey,但当然,如果有人随机找到一个 Yubikey,那么它无论如何都是无用的。
底线是,只需使用 Yubikey PIN,它可能不像 AD 密码要求那样复杂,但智能卡解决方案仍然比用户名/密码安全得多。
为了增加安全性,请为 Yubikey 配置触摸功能。这样可以确保即使证书和 PIN 以某种方式被泄露,这些详细信息也无法被远程使用,因为系统需要进一步确认,而这只能通过物理密钥生成。
答案2
您可能需要 Yubikeys 的 PIN 复杂度。请参阅https://developers.yubico.com/yubikey-piv-manager/PIN_and_Management_Key.html 这可能是脚本化的。请参阅https://developers.yubico.com/yubico-piv-tool/Manuals/yubico-piv-tool.1.html
我还可以推荐 TPM 虚拟智能卡,它也允许轻松编写 PIN 复杂性脚本。