Autenticazione degli ingegneri di supporto sui sistemi client

Naviga le tue risposte
3

Ci sono dei buoni metodi per autenticare che un utente è un maint engineer, o almeno abbastanza fidato da usare l'accesso a maint? L'ambiente è un codice in esecuzione nei siti client, senza accesso a Internet, e viene eseguito per molti anni tra una visita e l'altra.

Pensa ad un distributore automatico come esempio, come faccio a sapere che vieni dalla società di servizi, o stai parlando con un tecnico dell'assistenza che ti fornisce la password? Voglio impedirti di poter utilizzare nuovamente questa password alcune settimane più tardi, anche se di nuovo entro le prossime ore va bene se aiuta.

Al momento utilizziamo una password a lungo termine, quindi accedi prima (sicurezza del sito) e poi inserisci la password di maint per passare alla modalità super. L'unico problema è che una volta conosciuta questa password, non possiamo davvero cambiarla.

Non sto cercando una sicurezza perfetta, solo che gli utenti devono essere ragionevolmente fidati per accedere alla modalità maint. Stavo pensando a qualche sfida / risposta, in cui la domanda di sfida cambia ogni 24 ore o giù di lì, ma se il codice potrebbe aver bisogno di memorizzare 10 anni (vita di singola release) di sfida / risposte mi chiedo se questa sia davvero una buona idea. Abbiamo solo le tastiere come dispositivi di acquisizione dell'autenticazione.

    
posta rlb 04.10.2013 - 22:28
fonte

1 risposta

3

Userei una specie di sistema HOTP - La password One Time basata sugli eventi. Pensa ai piccoli telecomandi RSA che alcune persone usano con numeri casuali. Puoi comprarne un po 'e consegnarli ai tuoi ingegneri (devono essere programmati sulle macchine, però), oppure configurare un sistema telefonico che i tuoi tecnici possano chiamare per ottenere l'OTP.

Un problema è che non puoi revocare le chiavi rubate. Se li dai ai tuoi ingegneri, e se li perdono o se ne vanno e non li restituiscono, possono comunque entrare. Se questi sistemi hanno orologi precisi (+/- 30 secondi in tempo reale), puoi ottenere un tempo invece il sistema OTP basato. Utilizza lo stesso codice numerico a 6 cifre, ma i tuoi ingegneri non possono accumulare una dozzina di numeri prima di abbandonare il lavoro con il loro ID aziendale e quei codici di accesso.

Puoi farlo senza i telecomandi. Il rovescio della medaglia è che, se qualcuno ha accesso alla chiave privata nel codice, possono entrare in qualsiasi computer ovunque. Se riesci a compilarlo, sei piuttosto carino.

I dongle HOTP o TOTP possono essere acquistati, oppure puoi semplicemente usare un comando Linux per generarli a volontà.

Modo più semplice

Il modo più semplice è avere un numero casuale generato da un algoritmo. Il numero cambia ogni giorno in un momento specifico. In questo modo non è stato possibile utilizzare un codice nuovo non dipendente o rubato per più di un giorno. In realtà puoi utilizzare l'esempio HOTP dall'alto, usando il metodo HOTP per generare il codice giornaliero e convalidarlo.

    
risposta data 04.10.2013 - 22:55
fonte

Leggi altre domande sui tag

Qual è un modo sicuro per registrare le password di Firefox in Gnome Seahorse Keyring? Stored Cross-Site Scripting senza parentesi o spazi