Queremos que nuestros usuarios en la empresa inicien sesión en sus computadoras mediante el uso de sus discos flash USB u otra cosa. ¿Hay alguna manera de lograr esto sin comprar un token USB de una empresa?
Respuestas:
Los tokens de seguridad son procesadores resistentes a la manipulación. Los discos flash USB son medios de almacenamiento. Estas cosas son, fundamentalmente, dos cosas diferentes. Estás comparando manzanas y naranjas.
Un token de seguridad contiene un secreto (clave privada, generador de números aleatorios, etc.) que no se puede eliminar (fácilmente) del dispositivo. Esta resistencia a la manipulación es la razón por la que el dispositivo (y, de hecho, un sistema completo basado en estos dispositivos) tiene propiedades de seguridad. Puede decir, con un grado razonable de certeza, que los bits dentro del token de seguridad solo existen dentro de ese token y no pueden copiarse a otros tokens / dispositivos.
Un disco flash USB (al menos, la gran mayoría) no son elementos de procesamiento activos. No pueden realizar operaciones criptográficas (firmar un mensaje, generar el HMAC de un mensaje, etc.) y los bits que almacenan son, por diseño, fáciles de copiar.
Un atacante malintencionado (incluida una computadora comprometida, en el caso de los tokens de seguridad que están físicamente conectados a la computadora) no puede robar el secreto de un token de seguridad (al menos, esa es la idea).
La mayoría de los discos flash USB no están diseñados para eso. Podrías echar un vistazo a Yubico en el extremo más barato del espectro.
¿Tiene la intención de utilizar el dispositivo USB como único mecanismo de autenticación? Supongo que no, pero si es así, considere qué sucede si se pierde, o si uno de los juniors de la oficina "toma prestado" el dispositivo del gerente general, o si alguien lo deja en casa.
Hay dispositivos USB que duplican la funcionalidad de almacenamiento de certificados de tarjetas inteligentes, por lo que vale la pena mirarlos, pero AFAIK son todos los "tokens USB" que desea evitar.
Simplemente puede almacenar una clave privada protegida por contraseña en una unidad flash USB y usarla en su autenticación. No estoy seguro de cómo facilitaría esto al usuario (depende de su sistema operativo), pero es una opción.
Como se señaló, probablemente no desee que esta sea la única autenticación, ya que puede ser robada, perdida, etc. Pero sería barata y cuenta como parte de la autenticación de tres factores, lo que supongo es lo que está tratando de hacer. lograr.
Respondiendo la parte de "otra cosa" de su pregunta: he estado usando el producto PINsafe de Swivel durante un par de años, lo que da lo que llaman autenticación de factor 2.5. No da exactamente lo que está buscando, pero después de la inversión inicial en el producto, no tiene el costo de distribuir ningún dispositivo, pero es bastante seguro contra todos los registradores de teclas más elaborados. Si estuviera preocupado por eso, probablemente no estaría buscando una solución barata :-)