Utiliser un disque flash USB standard comme jeton de sécurité
8
Nous voulons que nos utilisateurs en entreprise se connectent à leurs ordinateurs en utilisant leurs disques flash USB ou autre chose. Existe-t-il un moyen d'y parvenir sans acheter de jeton USB d'une entreprise?
Les jetons de sécurité sont des processeurs inviolables. Les disques flash USB sont des supports de stockage. Ces choses sont, fondamentalement, deux choses différentes. Vous comparez des pommes et des oranges.
Un jeton de sécurité contient un secret (clé privée, source de générateur de nombres aléatoires, etc.) qui ne peut pas (facilement) être supprimé de l'appareil. Cette résistance à l'altération est la raison pour laquelle l'appareil (et, en fait, un système entier basé sur ces appareils) possède des propriétés de sécurité. Vous pouvez dire, avec un degré de certitude raisonnable, que les bits à l'intérieur du jeton de sécurité n'existent qu'à l'intérieur de ce jeton et ne peuvent pas être copiés vers d'autres jetons / appareils.
Un disque flash USB (au moins, la grande majorité) ne sont pas des éléments de traitement actifs. Ils ne peuvent pas effectuer d'opérations cryptographiques (signature d'un message, génération du HMAC d'un message, etc.) et les bits qu'ils stockent sont, par conception, faciles à copier.
Un attaquant malveillant (y compris un ordinateur compromis, dans le cas de jetons de sécurité physiquement attachés à l'ordinateur) ne peut pas voler le secret d'un jeton de sécurité (du moins, c'est l'idée).
La plupart des disques flash USB ne sont pas conçus pour cela. Vous pourriez jeter un œil à Yubico à l'extrémité la moins chère du spectre.
Avez-vous l'intention d'utiliser le périphérique USB comme seul mécanisme d'authentification? Je suppose que non, mais si c'est le cas, réfléchissez à ce qui se passe s'il est perdu, ou si l'un des juniors de bureau "emprunte" l'appareil du directeur général, ou si quelqu'un le laisse à la maison.
Il existe des périphériques USB qui dupliquent la fonctionnalité de stockage de certificat de carte à puce, ce qui pourrait valoir la peine d'être examiné - mais AFAIK, ce sont tous les «jetons USB» que vous souhaitez éviter.
Vous avez tout à fait raison, mais nous voulons d'abord l'essayer dans un exemple d'environnement.
Harun Baris Bulut
1
Vous pouvez simplement stocker une clé privée protégée par mot de passe sur une clé USB et l'utiliser dans votre authentification. Je ne sais pas comment cela pourrait être facile pour l'utilisateur (cela dépend de votre système d'exploitation), mais c'est une option.
Comme indiqué, vous ne voulez probablement pas que ce soit la seule authentification, car elle peut être volée, perdue, etc. atteindre.
Répondre à la partie "autre chose" de votre question - J'utilise le produit PINsafe de Swivel depuis quelques années, ce qui donne ce qu'ils appellent l'authentification à 2,5 facteurs. Il ne donne pas tout à fait ce que vous recherchez, mais après l'investissement initial dans le produit, vous n'avez pas le coût de distribution d'appareils, mais il est assez sûr contre tous, sauf les enregistreurs de frappe les plus élaborés. Si cela vous inquiétait, vous ne chercheriez probablement pas une solution bon marché :-)
Est-ce que clauer.nisu.org servirait votre objectif? Il tente de créer une partition cachée sur un périphérique USB standard. Cependant, cela nécessite des programmes particuliers et une configuration assez avancée pour démarrer.
Réponses:
Les jetons de sécurité sont des processeurs inviolables. Les disques flash USB sont des supports de stockage. Ces choses sont, fondamentalement, deux choses différentes. Vous comparez des pommes et des oranges.
Un jeton de sécurité contient un secret (clé privée, source de générateur de nombres aléatoires, etc.) qui ne peut pas (facilement) être supprimé de l'appareil. Cette résistance à l'altération est la raison pour laquelle l'appareil (et, en fait, un système entier basé sur ces appareils) possède des propriétés de sécurité. Vous pouvez dire, avec un degré de certitude raisonnable, que les bits à l'intérieur du jeton de sécurité n'existent qu'à l'intérieur de ce jeton et ne peuvent pas être copiés vers d'autres jetons / appareils.
Un disque flash USB (au moins, la grande majorité) ne sont pas des éléments de traitement actifs. Ils ne peuvent pas effectuer d'opérations cryptographiques (signature d'un message, génération du HMAC d'un message, etc.) et les bits qu'ils stockent sont, par conception, faciles à copier.
Un attaquant malveillant (y compris un ordinateur compromis, dans le cas de jetons de sécurité physiquement attachés à l'ordinateur) ne peut pas voler le secret d'un jeton de sécurité (du moins, c'est l'idée).
la source
La plupart des disques flash USB ne sont pas conçus pour cela. Vous pourriez jeter un œil à Yubico à l'extrémité la moins chère du spectre.
Avez-vous l'intention d'utiliser le périphérique USB comme seul mécanisme d'authentification? Je suppose que non, mais si c'est le cas, réfléchissez à ce qui se passe s'il est perdu, ou si l'un des juniors de bureau "emprunte" l'appareil du directeur général, ou si quelqu'un le laisse à la maison.
Il existe des périphériques USB qui dupliquent la fonctionnalité de stockage de certificat de carte à puce, ce qui pourrait valoir la peine d'être examiné - mais AFAIK, ce sont tous les «jetons USB» que vous souhaitez éviter.
la source
Vous pouvez simplement stocker une clé privée protégée par mot de passe sur une clé USB et l'utiliser dans votre authentification. Je ne sais pas comment cela pourrait être facile pour l'utilisateur (cela dépend de votre système d'exploitation), mais c'est une option.
Comme indiqué, vous ne voulez probablement pas que ce soit la seule authentification, car elle peut être volée, perdue, etc. atteindre.
Répondre à la partie "autre chose" de votre question - J'utilise le produit PINsafe de Swivel depuis quelques années, ce qui donne ce qu'ils appellent l'authentification à 2,5 facteurs. Il ne donne pas tout à fait ce que vous recherchez, mais après l'investissement initial dans le produit, vous n'avez pas le coût de distribution d'appareils, mais il est assez sûr contre tous, sauf les enregistreurs de frappe les plus élaborés. Si cela vous inquiétait, vous ne chercheriez probablement pas une solution bon marché :-)
la source
Est-ce que clauer.nisu.org servirait votre objectif? Il tente de créer une partition cachée sur un périphérique USB standard. Cependant, cela nécessite des programmes particuliers et une configuration assez avancée pour démarrer.
la source