会社のユーザーには、USBフラッシュディスクなどを使用してコンピューターにログインしてもらいます。会社からUSBトークンを購入せずにこれを実現する方法はありますか?
yubico.com/products/yubikey-hardwareを
—
ジェイコブエバンス
会社のユーザーには、USBフラッシュディスクなどを使用してコンピューターにログインしてもらいます。会社からUSBトークンを購入せずにこれを実現する方法はありますか?
回答:
セキュリティトークンは改ざん防止プロセッサです。USBフラッシュディスクはストレージメディアです。これらは基本的に2つの異なるものです。リンゴとオレンジを比較しています。
セキュリティトークンには、デバイスから(簡単に)削除できないシークレット(秘密キー、乱数ジェネレータシードなど)が含まれています。この耐タンパー性が、デバイス(および実際には、これらのデバイスに基づくシステム全体)にセキュリティプロパティがある理由です。セキュリティトークン内のビットはそのトークン内にのみ存在し、他のトークン/デバイスにコピーできないと、ある程度の確実性で言えます。
USBフラッシュディスク(少なくとも、大多数)はアクティブな処理要素ではありません。暗号操作(メッセージへの署名、メッセージのHMACの生成など)を実行することはできず、格納するビットは設計上、コピーが簡単です。
悪意のある攻撃者(コンピュータに物理的に接続されているセキュリティトークンの場合、侵害されたコンピュータを含む)は、セキュリティトークンからシークレットを盗むことはできません(少なくとも、それは考えです)。
ほとんどのUSBフラッシュディスクは、そのために設計されていません。より安価な範囲でYubicoを見ることができます。
USBデバイスを唯一の認証メカニズムとして使用するつもりですか?私はそうではないと思いますが、もしそうなら、それが失われた場合、または後輩の1人がゼネラルマネージャーのデバイスを「借りた」場合、または誰かがそれを家に置いてきた場合にどうなるかを検討します。
スマートカードの証明書の保存機能を複製するUSBデバイスがあります。そのため、一見の価値がありますが、それらはすべて、回避したい「USBトークン」です。
パスワードで保護された秘密鍵をUSBフラッシュドライブに保存し、それを認証に使用することができます。これをユーザーにとって簡単にする方法(OSによって異なります)はわかりませんが、これはオプションです。
指摘されたように、盗まれたり失われたりする可能性があるため、おそらくこれを唯一の認証にしたくないでしょう。しかし、それは安く、3要素認証の一部としてカウントされます。成し遂げる。
あなたの質問の「何か他のもの」の部分に答える-私は2年間、SwivelのPINsafe製品を使用しており、2.5要素認証と呼ばれるものを提供しています。それはあなたが探しているものを完全に与えるわけではありませんが、製品への初期投資の後、デバイスを配布するコストはありませんが、最も精巧なキーロガーを除くすべてに対してかなり安全です。あなたがそれについて心配していたら、おそらく安価な解決策を探していないでしょう:-)