Applicazione che utilizza un token USB per assegnare l'utente su un server

Un token USB è di solito un mezzo per assicurare con precisione che l'utente acceda al sito Web di persona. Quindi questo va piuttosto contro qualsiasi forma di automazione.

Teoricamente puoi lasciare il token USB collegato per l'uso del sistema automatico, ma questo potrebbe vanificare tutto ciò che l'autenticazione del token USB è (a meno che tu non lo consideri un'alternativa economica HSM, sarebbe logico ma sarebbe un completa diversi schemi di sicurezza).

Molto probabilmente è necessario aggiungere un'autenticazione specifica senza token per la propria applicazione automatizzata. Questo di solito passa attraverso un accesso supplementare con privilegi inferiori rispetto all'utente reale, ad esempio limitato a (alcuni) accessi API Web e nessun accesso all'interfaccia Web.

Se il tuo browser supporta l'uso dei certificati dal token, puoi configurare l'autenticazione del client HTTPS sul server e lo script PHP può solo leggere il nome utente dalle variabili di ambiente.

L'implementazione di successo di una tale configurazione comporta una grande infrastruttura (tipicamente IIS / Apache, dominio Windows e servizio di certificati), formazione per gli utenti e supporto però.

Normalmente questo viene implementato utilizzando le smart card PKI (che molti di questi token USB emulano) che viene anche utilizzato per registrare l'utente nel computer. L'utente avrà un strong incentivo a rimuovere la tessera / token quando lascerà il computer in modo da proteggere i file memorizzati nell'account. Inoltre, le smart card conformi al logo di Windows si bloccano automaticamente quando l'utente blocca il computer, quindi l'utente deve inserire nuovamente il PIN per sbloccare la scheda e il computer. Questa configurazione risolve parzialmente i problemi sollevati da @WhiteWinterWolf.