我知道用于login到启用活动目录的计算机的智能卡,但想知道是否有一个限制较less(而且更便宜)的解决scheme。
我正在寻找类似于一个实用工具,让我生成签名的“login文件”,然后我可以将这些文件复制到任何 USB磁盘。 当用户想要login时,他们可以插入带有文件的USB密钥,并自动login。
很明显,我(作为pipe理员)可以简单地撤消这些签名的文件,并在需要时生成新签名的文件。
有这样的效用/解决scheme吗?
不完全是。 您不能使用任何旧的存储介质。 他们确实做USB智能棒(真正的USB棒forms的智能卡)。 问题在于如何使用智能卡进行validation。
这是stream程的通用/简化版本:“服务器”应用程序知道智能卡的公共证书。 它创build一个随机数并使用公共证书进行encryption。 然后将encryption的随机数发送给客户端; 客户端将其转发给智能卡。 智能卡用私钥解密; 随机数然后被送回到服务器(通常重新encryption,但是对于这个过程是微不足道的)。
请注意,客户端计算机从不会看到专用证书。 这样客户端计算机就不能创build私有证书的副本,并且令牌始终需要进行validation。 如果可以复制,那么它将是不安全的; 一个“犯罪分子”可以复制你的卡片,将其退回,而你不知道他们有你的validation机制。
用于PKIlogin的智能卡(Windows ADlogin)不是非常昂贵*如果您避免打包的解决scheme。 当然,这些打包的解决scheme使整个过程变得更加简单,而且您所需要的知识也less得多。
* Athena以每个36美元 (散装便宜) 制作PKI智能卡 。
* 阿拉丁以65美元制作eToken Pro USB
附注:我真的不会build议使用令牌来完全replace密码。 如果没有别的,我build议发行一个密码的私钥和设置到期一年; 即使是一个简单的密码在这种情况下也是非常有效的(尽pipe你仍然应该避免字典和任何明显的字眼)。
如果您正在寻找其他双因素身份validation系统,除了诸如HOTP ($ 5或更less)之类的基于智能卡的身份validation系统之外,还有许多可能性。