Perché le reti private utilizzano sia l'autenticazione X.509 che l'autenticazione utente / password

I certificati X.509 hanno diverse proprietà che le password non hanno; molti di questi derivano da essi che generalmente rientrano nel fattore di autenticazione "qualcosa che hai", invece del "qualcosa che conosci" che si applica alle password.

• Sono immuni ai tentativi di phishing; A differenza di una password, in cui il server deve ricevere la password in chiaro per autenticarti, un certificato X.509 ti autentica firmando alcuni dati. Un sito di phishing ottiene una password che può girare e utilizzare sul sito reale; l'autenticazione X.509 fornisce solo una firma singola dal certificato e non gli fornisce la chiave privata che avrebbe dovuto impersonare.
• Allo stesso modo, non comportano alcun rischio di spargimento di spalle o di un utente che dice la sua password ai colleghi o simili. Un utente può esportare la chiave privata, ma è molto meno probabile che un utente indichi a qualcuno una password.
• Non dipendono da un utente che lo sceglie e lo ricorda. Ciò significa che possono essere molto entropici, e non c'è il rischio di una scelta comune o scarsa del certificato X.509, che esiste con le password.
• Spesso ottieni certificati separati per ogni browser o dispositivo che possiedi. Ciò significa che la scuola potrebbe revocare uno di essi se il dispositivo viene rubato senza doverli revocare tutti.

• Non rappresentano alcun rischio se vengono riutilizzati su altri siti. Se usi la tua password scolastica su un altro sito, quel sito potrebbe raccogliere la password o potrebbe memorizzarla in modo incompleto e rubarla in una violazione. Con i certificati X.509, normalmente il sito non ha nemmeno conosci la tua chiave privata, quindi se stai utilizzando lo stesso certificato per più siti, non devi fare affidamento su tutti Proteggi le tue credenziali (se usi la stessa password su più siti, e nessuno di loro la protegge male, è compromessa per tutti loro).

• Se non combinato con una password, il fatto che tu possa usarlo su un sito senza che il sito abbia bisogno di sapere abbastanza da porre come vuoi vuol dire che serve come un sistema simile a SSO, senza bisogno di reindirizzare te a qualche pagina di accesso centralizzata. Con la password SSO, è necessario accedere al provider SSO se non lo si è già fatto, il che significa che si è inviati ad un'altra pagina (poiché l'accesso richiede la password al server di login). Con i certificati, non devi fornire alcuna informazione segreta a nessuno per l'autenticazione, quindi puoi semplicemente autenticarti direttamente nel sito che stai per visitare.

• Se utilizzato per SSO, non si deve fare affidamento su alcun server di autenticazione centrale. Con la password SSO, hai bisogno di server centrali altamente sicuri per gestire le richieste di accesso se un utente non ha già effettuato l'accesso (poiché devono conoscere la password o l'hash della password dell'utente); con determinati metodi SSO per la password, sono necessari server centrali altamente sicuri per gestire le richieste di autenticazione tutte . Con X.509, chiunque abbia il certificato per la CA della scuola può verificare il tuo certificato X.509. È meglio se possono controllare se è stato revocato, ma gestire la revoca dei certificati può essere fatto tramite CRL, che possono essere memorizzati nella cache su altri server che non devono essere altamente sicuri (e quindi è più facile assicurarsi che almeno uno sia in esecuzione).

Tutti si applicano a X.509 se usati in isolamento. Inoltre (e questo è il motivo per cui devi inserire entrambi ):

• Se combinati con una password, forniscono l'autenticazione a due fattori (una password è qualcosa che sai, un certificato è qualcosa che hai).