La Common Access Card (CAC) dell'esercito sembra legittima. Altre società / organizzazioni impiegano il loro uso? In caso negativo, perché?
Aggiorna Quali sono i pro / contro delle smart card, rispetto ad altri metodi?
Le carte CAC sono utilizzate solo dal Dipartimento della Difesa degli Stati Uniti. Ma le carte simili sono usate altrove. Con "simile" intendo le carte di plastica con chip incorporato che trasportano un'immagine e altre informazioni di identità sicure e che utilizzano PKI.
Come puoi vedere, tende ad essere organizzazioni governative che hanno tradizionalmente emesso altre forme di ID che sono quelle che adottano maggiormente le carte in stile CAC.
Conosco una serie di organizzazioni che usano le smartcard per l'accesso agli edifici, l'accesso a computer o terminali (es. citrix) o per entrambi. È il tipo di organizzazioni che ti aspetteresti, quelle che hanno un impatto elevato se l'aggressore acquisisce un accesso non autorizzato.
Inoltre, come ha commentato @ ewanm89, la maggior parte delle carte bancarie europee ora sono smart card e alcune banche usano questa autenticazione (ad esempio, una delle mie banche mi richiederà di inserire la mia carta in un lettore di schede, inserire il mio PIN e poi inserire un numero da una pagina di autenticazione di pagamento e digita il numero della funzione di crittografia sulla scheda che mi restituisce nella pagina per dimostrare che ho fisicamente la carta, oltre a conoscere il PIN)
What are the pros/cons of smart cards, compared to other methods?
Negli ultimi 18 mesi la società che produce i token di sicurezza RSA è stata compromessa. informazioni su centinaia di migliaia dei loro dispositivi (in uso dai loro clienti) sono trapelate. Queste informazioni hanno permesso ai criminali che hanno avuto accesso a queste informazioni, accedere ad altre informazioni aziendali (anche se per essere onesti c'era anche un aspetto di ingegneria sociale di quell'attacco) a condizione che le informazioni rimangano salvate i dispositivi di sicurezza RSA è uno dei modi più sicuri di elettronica accesso al dispositivo.
Le comuni carte di accesso (ovvero le smart card) contenevano un certificato di sicurezza pki. Non posso parlare a chi altri li usa, li ho visti usati sia da un appaltatore della difesa che dalle agenzie di governo.
Come sottolineato c'è una debolezza delle carte, l'elemento umano, la password e / o il pin usati per decodificare le informazioni crittografate dal certificato di sicurezza possono essere raccolte. C'è / era un exploit in uno dei client che fornisce un mezzo per estrarre le informazioni del certificato sulla carta.
L'aspetto importante di queste smart card è che devi avere accesso al certificato contenuto solo sulla carta. Quando la carta non è più visibile al sistema, il certificato viene rimosso dal sistema, è necessaria una corretta configurazione del sistema.
Un uomo nell'attacco centrale può essere prevenuto, ma se succede l'hacker ha solo accesso, mentre ha la possibilità di usare il certificato.
I certificati che scadono entro un breve periodo di tempo (da 2 a 3 anni) sono un must.
Molte aziende utilizzano vari dispositivi hardware (ad es. RSA SecurID) per l'autenticazione. Non so quante altre organizzazioni utilizzano le smartcard (come la scheda CAC) per sicurezza.
Una limitazione delle smartcard e delle schede CAC è che non proteggono contro malware sul PC (ad esempio, il man-in-the -browser attack ). In particolare, il malware sul tuo computer può registrare il tuo PIN utilizzando un keylogger (dato che viene digitato sulla tastiera e inviato solo alla smartcard), e quindi può inviare richieste arbitrarie alla smartcard per la firma. Questo è fondamentalmente un attacco man-in-the-middle, con il malware che si trova nel mezzo tra l'utente e la smartcard. Poiché la smartcard non ha canali di ingresso o canali di output indipendenti, non ha modo di sapere che viene ingannato in questo modo e la smartcard firmerà tutto ciò che il malware richiede. Pertanto, il malware sul tuo PC vanifica completamente tutti i vantaggi di sicurezza della smartcard. (Lo stesso vale per i dispositivi RSA SecurID.)
Ciò significa che, probabilmente, il vantaggio principale fornito da una scheda CAC o una smart card è che supporta l'autenticazione sicura su un sito remoto, a condizione che non ci siano malware sul computer locale. Tuttavia, molti altri dispositivi hardware (ad es. RSA SecurID) offrono vantaggi simili, quindi il valore aggiunto di una smartcard è discutibile.
Vedi anche voce di Wikipedia su schede CAC e un esempio di malware destinato a sconfiggere la scheda CAC .
Sì certo, governo o puoi dire che qualsiasi tipo di organizzazione fa uso di carte d'identità multifunzionali che identificano facilmente la designazione dei dipendenti e sono facilmente ricercabili. tessere identificative della polizia
Leggi altre domande sui tag authentication smartcard multi-factor