Chúng tôi muốn người dùng trong công ty đăng nhập vào máy tính của họ bằng cách sử dụng Đĩa USB Flash của họ hoặc một cái gì đó khác. Có cách nào để đạt được điều này mà không cần mua mã thông báo USB từ công ty không?
Câu trả lời:
Mã thông báo bảo mật là bộ xử lý chống giả mạo. Đĩa flash USB là phương tiện lưu trữ. Những điều này, về cơ bản, là hai điều khác nhau. Bạn đang so sánh táo và cam.
Mã thông báo bảo mật chứa một bí mật (khóa riêng, hạt giống trình tạo số ngẫu nhiên, v.v.) không thể (dễ dàng) bị xóa khỏi thiết bị. Khả năng chống giả mạo này là lý do mà thiết bị (và thực tế, toàn bộ hệ thống dựa trên các thiết bị này) có bất kỳ thuộc tính bảo mật nào. Bạn có thể nói, với mức độ chắc chắn hợp lý, các bit bên trong mã thông báo bảo mật chỉ tồn tại bên trong mã thông báo đó và không thể được sao chép sang các mã thông báo / thiết bị khác.
Một đĩa flash USB (ít nhất, phần lớn) không hoạt động. Họ không thể thực hiện các hoạt động mã hóa (ký một tin nhắn, tạo ra HMAC của tin nhắn, v.v.) và các bit mà họ lưu trữ, theo thiết kế, dễ sao chép.
Kẻ tấn công độc hại (bao gồm một máy tính bị xâm nhập, trong trường hợp mã thông báo bảo mật được gắn vào máy tính) không thể đánh cắp bí mật ra khỏi mã thông báo bảo mật (ít nhất, đó là ý tưởng).
Hầu hết các đĩa flash USB không được thiết kế cho điều đó. Bạn có thể có một cái nhìn về Yubico ở đầu phổ rẻ hơn.
Bạn đang có ý định sử dụng thiết bị USB làm cơ chế xác thực duy nhất? Tôi cho là không, nhưng nếu vậy, hãy xem xét những gì sẽ xảy ra nếu nó bị mất hoặc nếu một trong những đàn em văn phòng "mượn" thiết bị của người quản lý chung, hoặc nếu ai đó để nó ở nhà.
Có những thiết bị USB nhân đôi chức năng lưu trữ chứng chỉ thẻ thông minh để có thể đáng xem - nhưng AFAIK chúng đều là "mã thông báo USB" mà bạn muốn tránh.
Bạn chỉ có thể lưu trữ khóa riêng được bảo vệ bằng mật khẩu trên ổ flash USB và sử dụng nó trong xác thực của bạn. Không chắc chắn làm thế nào bạn có thể làm điều này dễ dàng cho người dùng (tùy thuộc vào hệ điều hành của bạn), nhưng đó là một tùy chọn.
Như đã chỉ ra, có lẽ bạn không muốn đây là xác thực duy nhất, vì nó có thể bị đánh cắp, bị mất, v.v. Nhưng nó sẽ rẻ và được coi là một phần của xác thực ba yếu tố, mà tôi đoán là những gì bạn đang cố gắng Hoàn thành.
Trả lời phần "cái gì khác" trong câu hỏi của bạn - Tôi đã sử dụng sản phẩm PINsafe của Xoay trong một vài năm, điều này mang lại cái mà họ gọi là xác thực 2,5 yếu tố. Nó không hoàn toàn mang lại những gì bạn đang tìm kiếm, nhưng sau khi đầu tư ban đầu vào sản phẩm, bạn không có chi phí phân phối bất kỳ thiết bị nào, nhưng khá an toàn trước tất cả các bộ ghi nhật ký khóa phức tạp nhất. Nếu bạn lo lắng về điều đó, có lẽ bạn sẽ không tìm kiếm một giải pháp giá rẻ :-)