Sito Web protetto con certificato macchina univoco

0

È possibile consentire l'accesso a un sito Web solo per clienti specifici su macchine specifiche?

Non sono un esperto di sicurezza, ma un'idea che ho avuto è di generare un certificato che funzioni solo su una macchina specifica (quindi se il certificato è stato rubato, non funzionerebbe su altri computer) e poi in qualche modo usarlo autorizzarmi sul sito web (oltre a fornire un nome utente e una password).

I requisiti di sicurezza sono molto alti e vorrei evitare di sviluppare un'applicazione desktop per motivi di scalabilità e manutenibilità, ma la sicurezza diventa un problema.

È realizzabile sul Web o dovrebbe essere un'applicazione puramente locale?

Gradirei qualsiasi materiale di lettura su questo problema. Grazie.

    
posta Shahin Dohan 21.09.2016 - 14:43
fonte

2 risposte

1

Non puoi attaccare i client ai loro dispositivi. Almeno, non esiste un protocollo adatto che controlli anche i dispositivi client. Come suggerito, l'unica opzione è usare TPM per memorizzare i certificati di autenticazione del client.

Le smart card sono trasferibili su altri dispositivi (quindi, l'utente autorizzato può utilizzare dispositivi / computer non autorizzati), pertanto potrebbe non soddisfare le tue esigenze.

    
risposta data 21.09.2016 - 17:28
fonte
1

Utilizza l'autenticazione del client TLS e si fida solo del certificato emittente specifico sul server. Devi essere in grado di registrare in modo sicuro i tuoi clienti per usarli naturalmente e la chiave privata del client deve essere tenuta in sicurezza. Un metodo consiste nell'emettere carte snart ai clienti.

L'autenticazione del client viene utilizzata principalmente per le comunicazioni macchina-macchina piuttosto che i browser Web al giorno d'oggi.

    
risposta data 21.09.2016 - 15:14
fonte