我们希望我们公司的用户使用他们的USB闪存盘或其他东西login他们的电脑。 有没有办法做到这一点,而不从公司购买USB令牌?
安全令牌是防篡改的处理器。 USB闪存盘是存储介质。 这些东西从根本上说是两回事。 你正在比较苹果和橘子。
安全令牌包含不能(轻易地)从设备中删除的秘密(私钥,随机数发生器种子等)。 这种防篡改是设备(以及实际上基于这些设备的整个系统)具有任何安全属性的原因。 您可以合理确定地说,安全令牌内的位只存在于该令牌内,不能复制到其他令牌/设备。
USB闪存盘(至less绝大多数)不是活动的处理元件。 他们不能执行encryption操作(签名消息,生成消息的HMAC等),并且它们存储的位在devise上易于复制。
一个恶意的攻击者(包括安全令牌的情况下,包括计算机的安全令牌)不能窃取安全令牌的秘密(至less,这是想法)。
大多数USB闪存盘不是为此devise的。 你可以看看Yubico在更便宜的一端。
您是否打算使用USB设备作为唯一的身份validation机制? 我假设不是,但如果是这样的话,考虑一下如果丢失了什么,或者如果其中一个办公室的后辈“借用”总经理的设备,或者如果有人把它留在家中的话。
有USB设备复制智能卡证书存储function,所以值得一看 – 但AFAIK他们都是你想要避免的“USB令牌”。
您可以将受密码保护的私钥存储在USB闪存驱动器上,然后在您的身份validation中使用该密钥。 不知道如何使用户容易(取决于您的操作系统),但它是一个选项。
正如所指出的,你可能不希望这是唯一的身份validation,因为它可以被盗,丢失等。但它会很便宜,并作为三个因素authentication的一部分,我猜是你正在尝试实现。
回答你的问题的“别的东西”的一部分 – 我一直在使用Swivel的PINsafe产品几年,这给了他们所谓的2.5因素authentication。 它并不完全符合您的要求,但是在对产品进行初始投资之后,您没有分配任何设备的成本,但对于除了最复杂的密钥logging器之外的所有设备都是相当安全的。 如果你担心这一点,你可能不会寻找一个便宜的解决scheme:-)
clauer.nisu.org会为你服务吗? 它试图在标准USB设备上创build一个隐藏分区。 但是,它需要特定的程序和一些相当先进的设置才能开始。