C'è un punto nell'usare i certificati utente invece di usare solo i certificati macchina?

Question

C'è un punto nell'usare i certificati utente invece di usare solo i certificati macchina?

#1 da (0 voti)

0

Ho visto che i certificati utente possono essere memorizzati sul computer dell'utente proprio come farebbero i certificati macchina.

Capisco che sarebbe molto sicuro se l'utente avesse inserito la sua chiave privata su una smart card o USB, perché allora sarebbe sempre stato con lui, come nel suo portachiavi accanto alle chiavi di casa e dell'auto. Quindi i certificati utente gli danno il vantaggio di poter accedere alla rete da qualsiasi dispositivo utilizzando il suo token di sicurezza. Forse questo è l'unico punto di un certificato utente? Idk.

Ma se non utilizzi token, il certificato utente verrà installato sul computer dell'utente. Questo è molto meno sicuro di lui solo usando una password per essere autorizzato alla rete. Può mantenere la password come un segreto memorizzato nella sua testa. Ma con i certificati, deve salvarlo sul computer. Quindi, se qualcuno accede al suo computer, può esportare la chiave privata. Quindi voilà, che qualcuno possa ora autenticarsi sulla rete con il proprio dispositivo utilizzando il certificato e la chiave privata che ha scaricato dal dispositivo di qualcun altro.

tl; dr : dovresti distribuire i certificati utente se non hai intenzione di utilizzare token di sicurezza?

certificates

posta Zouzou Ibba 08.08.2017 - 21:08

fonte

1 risposta

Leggi altre domande sui tag certificates

Qual è una strategia di effetto per gestire i file di Dropbox che vengono sovrascritti da file infetti? In che modo CAPTCHA mitiga gli attacchi DDoS?

score 0 · Accepted Answer

TL; DR - Distribuisci i certificati utente e deseleziona l'opzione Consenti l'esportazione della chiave privata durante la distribuzione. Per maggiore sicurezza, chiedi agli utenti di aggiungere una password alla chiave privata.

Discussione

I've seen that user certificates can be stored on the user's computer just like machine certificates would. I understand it would be very secure if the user had placed his private key on a smart card or USB, cause then it would always be with him, like on his key-ring alongside his house and car keys

Se un utente perde la sua smart card o la chiavetta USB, il certificato è compromesso. È molto più probabile che un utente perda il controllo fisico di una di queste chiavi, compromettendo così la chiave.

Un'unità USB ha una protezione zero contro l'esportazione di una chiave privata. Almeno una smart card non consente l'esportazione della chiave privata dopo che è stata scritta sulla carta.

But if you're not using tokens then the user certificate will be installed on the user's computer. That's far less secure than him just using a password to get authorized to the network.

Dipende dalla password. Una password generata a caso da 47 caratteri con simboli e numeri in alto, in basso sarà piuttosto strong. "Scimmia" d'altra parte ...

Da un punto di vista matematico, i certificati utente sono ordini di grandezza più sicuri rispetto alle password che l'utente medio generalmente userà. Tuttavia, ciò dipende dal criterio della password e dalla base utente, suppongo.

But with certificates, he has to store it on the computer. So if someone gets access to his computer he can export the private key. Then voila, that someone can now authenticate to the network with his own device using the certificate and private key he got off someone else's device.

I certificati utente possono essere distribuiti in modo che il la chiave privata non è esportabile . Assicurati che consenta l'esportazione della chiave privata sia deselezionata.

Per ulteriore sicurezza, puoi anche aggiungi una password alla chiave privata , ma a questo manca la comodità della distribuzione automatica tramite GPO. E, con ogni probabilità, dovrai andare in giro con ogni utente e farlo per loro con i privilegi di amministratore di dominio e amministratore locale.