Kami ingin pengguna kami di perusahaan untuk login komputer mereka dengan menggunakan USB Flash Disk atau yang lainnya. Apakah ada cara untuk mencapai ini tanpa membeli token USB dari perusahaan?
Jawaban:
Token keamanan adalah prosesor yang tahan rusak. USB flash disk adalah media penyimpanan. Hal-hal ini pada dasarnya adalah dua hal yang berbeda. Anda membandingkan apel dan jeruk.
Token keamanan berisi rahasia (kunci pribadi, seed generator nomor acak, dll) yang tidak dapat (dengan mudah) dihapus dari perangkat. Tamper-resistance ini adalah alasan bahwa perangkat (dan, memang, seluruh sistem berdasarkan perangkat ini) memiliki sifat keamanan apa pun. Anda dapat mengatakan, dengan tingkat kepastian yang masuk akal, bahwa bit di dalam token keamanan hanya ada di dalam token itu, dan tidak dapat disalin ke token / perangkat lain.
USB flash disk (setidaknya, sebagian besar) bukan merupakan elemen pemrosesan aktif. Mereka tidak dapat melakukan operasi kriptografi (menandatangani pesan, menghasilkan HMAC pesan, dll) dan bit yang mereka simpan, menurut desain, mudah untuk disalin.
Seorang penyerang jahat (termasuk komputer yang dikompromikan, dalam kasus token keamanan yang secara fisik terhubung ke komputer) tidak dapat mencuri rahasia dari token keamanan (setidaknya, itulah idenya).
Kebanyakan USB flash disk tidak dirancang untuk itu. Anda bisa melihat Yubico di ujung spektrum yang lebih murah.
Apakah Anda bermaksud menggunakan perangkat USB sebagai satu-satunya mekanisme otentikasi? Saya berasumsi tidak, tetapi jika demikian, pertimbangkan apa yang terjadi jika hilang, atau jika salah satu yunior kantor "meminjam" perangkat manajer umum, atau jika seseorang meninggalkannya di rumah.
Ada perangkat USB yang menduplikasi fungsi penyimpanan sertifikat kartu pintar sehingga layak untuk dilihat - tetapi AFAIK semuanya adalah "token USB" yang ingin Anda hindari.
Anda bisa menyimpan kunci pribadi yang dilindungi kata sandi di USB flash drive, dan menggunakannya dalam otentikasi Anda. Tidak yakin bagaimana Anda akan membuat ini mudah bagi pengguna (tergantung pada OS Anda), tetapi itu adalah opsi.
Seperti yang ditunjukkan, Anda mungkin tidak ingin ini menjadi satu-satunya otentikasi, karena dapat dicuri, hilang, dll. Tapi itu akan murah dan dihitung sebagai bagian dari tiga faktor otentikasi, yang saya kira adalah apa yang Anda coba mencapai.
Menjawab bagian "sesuatu yang lain" dari pertanyaan Anda - Saya telah menggunakan produk PINsafe Swivel selama beberapa tahun, yang memberikan apa yang mereka sebut otentikasi 2,5 faktor. Ini tidak cukup memberikan apa yang Anda cari, tetapi setelah investasi awal dalam produk, Anda tidak memiliki biaya untuk mendistribusikan perangkat apa pun, tetapi cukup aman terhadap semua kecuali penebang kunci yang paling rumit. Jika Anda khawatir tentang itu, Anda mungkin tidak akan mencari solusi murah :-)