服务器 Gind.cn
  1. 服务器 Gind.cn
  3. OTP与基于证书的令牌
Intereting Posts
任何好的应用程序可视化iSCSI存储networking上发生的事情 Nginx无法从外部访问? 如何在IIS7中configuration标头部分以承载同一IP地址上的多个网站 pipe理虚拟服务器 BIND和DHCPd性能 禁用受损用户帐户 作为应用程序安装在Web服务器上? 为什么? 睡眠命令在Windows Server 2008中 Ubuntu + Opera(ipv6问题) 如何在云中坚持更改实例 无法通过Mac OS X的VPN连接parsing主机 IRC是否使用UDP将短信客户端传送到服务器? 如何使用.htaccess不使用硬编码将非wwwredirect到www? 补鞋匠reposync失败 当conv = noerror,sync时,dd输出文件大于input文件

OTP与基于证书的令牌

目前我正在为我们公司研究双因素authentication系统的选项。 目前我正在研究基于证书的令牌与基于一次性密码(OTP)的令牌(RSA SecurID是最常见的)之间的优缺点。 最初它只会保护我们的VPN,但可能在后期包含其他服务。

据我了解,到目前为止,基于证书的令牌似乎比OTP令牌有许多优点。 它们支持其他用途,例如引导前身份validation,全盘encryption,电子邮件签名等。基于证书的令牌可以在现场configuration,不需要像RSA这样的人来制造他们订购。 我知道他们需要PKI,而不是每个人都愿意设置或维护,而OTP令牌则不需要。

尽pipe上面提到基于证书的令牌似乎是最好的select,但是我得到的印象 – 也许是错误的 – OTP令牌仍然更受欢迎。 简单的情况是,它们比基于证书的令牌更便宜和/或更简单? 我错过了什么吗? 我对利弊的评估是否正确? 你为什么要select一个在另一个,在什么情况下?

证书令牌和OTP令牌与学位相似,但在实践中,它们的实现是非常不同的。

我将总结如下:

OTP – 重量轻,点解决scheme,更容易,专有集成。 安全性较低,互操作性较差,每个authentication者的成本较高

证书/ PKI – 重型,广泛的解决scheme,极其可互操作,多用途,可用于物理和逻辑访问

更详细的描述如下

OTP

  • 标准基础:一般是专有的,可能存在OSS解决scheme
  • OTPvalidation器成本:每个单元25-150个服务器软件
  • 整合努力程度:低
  • 整合:限于覆盖产品(不多)
  • OSS友好的:没有
  • 专有:是的
  • 可与合作伙伴或政府互动:否
  • 可用于PACS:否
  • 可用于LACS:是的
  • 可用作ID:没有已知的令牌ID。
  • 可用于文件存储:否
  • 安全级别:中等
  • 令牌重复备份:可能但从未见过
  • 服务器令牌:相信不存在
  • 自动化企业应用程序可用于机器对机器:不
  • forms因素:非常有限
  • 轻松使用命令行应用程序:没有
  • 应用程序挂钩:非常有限,如果有的话。
  • 软件实现:不
  • 硬件实现:只
  • 定制:小/无
  • 与气隙融合:没有
  • 与独立计算机集成:否
  • 所需的中间件:不
  • 第三方validation客户推荐/要求:不
  • 读者驱动程序需要:不
  • 通过Active Directory / GPO进行控制:最小化
  • 与移动设备的互操作性:很less,如果支持

证书/ PKI

  • 标准基础:x509 PKI,以及公布的RFC,商业和OSS实施
  • OTP身份validation器成本:每个单元5到35个服务器软件
  • 整合努力程度:低
  • 整合:几乎无限; 我在我的机构中统计了200多个整合用例。
  • OSS友好:是的
  • 专有:没有
  • 与合作伙伴或政府互通:是的
  • 可用于PACS:是的
  • 可用于LACS:是的
  • 可用作ID:是的
  • 可用于文件存储:是的
  • 安全级别:高
  • 令牌复制备份::可能通过安全的手段
  • 服务器令牌:存在于许多forms因素中
  • 机器对机器的自主企业应用程序的可用性:是的
  • forms因素:极具扩展性,多种设备
  • 轻松使用命令行应用程序:是的
  • 应用程序挂钩:存在于许多应用程序中
  • 软件实现:是的
  • 硬件实现:是的
  • 定制:广泛
  • 与气隙融合:是的
  • 与独立电脑整合:是的
  • 所需的中间件:是的
  • 第三方validation客户推荐/要求:是
  • 读卡器驱动程序所需:偶尔主要用于旧的操作系统
  • 通过Active Directory / GPO控制:广泛
  • 与移动设备的互操作性:iOS和Android支持自动更新密钥

OTP挑战:

我看到许多OTP实现,用户仍然需要使用OTP令牌进行authentication事件,但是必须将其添加到用于encryption电子邮件的附加软件证书系统中。 这导致不安全的情况,并且OTP不太方便用户。 由于OTP具有如此less的集成点,与PKI相比,它们主要用作点解决scheme。

证书/ PKI挑战:

这很大程度上取决于良好的规划和强大的PKI实施。 当你谈论一个完整的企业PKI时,你正在谈论大量的基础设施。 请参阅我的posthttps://serverfault.com/a/377230/40488了解我们正在讨论的基础设施数量的好例子。 虽然公钥基础设施被认为是很昂贵的,但是有些公司可以把它作为一项业务来运行,因为外包服务比你能够承受的要便宜。 另外,你也会接受x509的标准,因此读一下古特曼关于这个问题的着作可能是个好主意。

结论:

我build议你根据积分的数量作出你的决定。

如果您只是将其用于VPNlogin和Windowslogin,以及仅使用一些应用程序身份validation,则OTP可能会更好。

如果您正在寻找VPNlogin,Windowslogin,安全电子邮件(SMIME),基于云的应用程序,全盘encryption,命令行实用程序的使用,SSH以及与OSS产品的广泛集成,则可与您的MDM移动解决scheme配合使用,或潜在的重用作为ID徽章或物理访问令牌,或者受监pipe的行业,或者在安全性至关重要的政府工作types中,我将采用许多智能卡forms因素之一的证书/ PKI系统。

我认为你的评估基本上是正确的,我不认为有更多的补充。 保持PKI是许多人的交易杀手。

一些基于OTP的令牌的另一个优点是它们通常不需要驱动程序。 显示OTP的令牌显然不需要驱动程序。 而一些OTP令牌(如Yubikey)模拟键盘,不需要特殊的驱动程序。 基于证书的令牌需要访问USB端口和已安装的驱动程序。

基于PKI的令牌的其他用例并不真正吸引大多数人。 一般来说,无论您需要身份validation,您可能对令牌执行的任何操作都不直接相关。 一般来说,公司不希望您使用您的身份validation令牌。 他们感到不舒服的想法,你可能会加载其他东西(如电子邮件证书)的令牌。

另外,有些人认为OTP令牌的不变性和工厂编程是一个优势。 他们认为,出差错less一步,他们必须经历。 对于大公司来说,他们只是购买一批令牌,将一个文件加载到他们的计算机上,然后他们“正常工作”。

基于OTP的令牌通常更容易处理。 对于pipe理员和用户。

基于OTP的令牌不幸有一个缺点:不能脱机工作。 这就是为什么您可以使用智能卡进行预启动身份validation和使用笔记本进行脱机身份validation。

一些OTP解决scheme可能会尝试脱机validation,但是如果您仔细考虑它,则很难真正成为两个因素。 我会称它为一个半。

有一些解决scheme,可以pipe理otp令牌和智能卡。

除了很高的水平,我不确定他们有多可比。

宾果牌和一次垫是非常受欢迎的。 这实际上是智能卡实施的反面。 对此没有太大的吸引力。 一个传统的智能卡实施是昂贵的和困难的,对99%的组织进行调查的决定是理论的。

我不认为你列出的任何选项是显着的优势。 多因素解决scheme之后的一个组织就是能够要求所有的身份validation。 这可以防止攻击者轻易地在没有智能卡的情况下使用帐户。 然而,不利的一面是,似乎总是有一些应用程序不工作,如果需要的话,需要有某种解决方法。 这基本上是任何提示inputWindows凭据的应用程序(假设您使用Windows)并且不能识别或支持智能卡。 自定义Web应用程序相当容易启用智能卡。 专有的供应商应用程序不是很多

这只涵盖肉类和土豆的话题。 重要的考虑因素应该是供应商和产品的信誉和质量。 智能卡需要内核驱动程序,并且需要透明且坚固。 在实践中可能不太好。 不过,供应商可能会有所不同。