Problemi di sicurezza dell'autenticazione token USB

Question

Problemi di sicurezza dell'autenticazione token USB

#1 da (0 voti)

0

Prima di tutto, devo menzionare che ho letto questo thread ed è stato utile nel mio caso, ma ho bisogno di più commenti e recensioni su questo metodo di autenticazione. USB Token authentication di cui voglio parlare è:

1- Accesso utente al server con username e password

2- richieste di server per alcune credenziali USB come numero seriale, data di scadenza, ecc.

3- L'utente riempie i parametri richiesti e li invia al server

4- Il server genera un token di accesso e lo firma con private key

5- L'utente scarica il token e lo salva nella memoria flash USB crittografata.

Ora ogni volta che l'utente vuole accedere al server, il server richiede nome utente, password e token. L'utente carica il token dalla sua USB al server. Il server verifica la firma con public key e se è verificata, l'utente può accedere.

Dal punto di vista della sicurezza, so che la memoria flash USB non è sicura come i token intelligenti PKI. Poiché il token è esportabile e non ha lo standard TPM , tuttavia mi chiedo quali altri problemi di sicurezza ha questo meccanismo?

authentication

posta A23149577 30.06.2014 - 10:38

fonte

1 risposta

Leggi altre domande sui tag authentication

quali sono i pro e i contro dell'utilizzo del webfiltering basato sulla sicurezza del cloud? Server SSLv2 abilitato su server non Web

score 0 · Accepted Answer

Non sembra fornire molto sull'autenticazione di username e password. Il tuo token diventa effettivamente una password secondaria che è al massimo difficile da ricordare.

I principali vantaggi dei token intelligenti PKI e dell'autenticazione del certificato client sono che impediscono attacchi di intercettazione e phishing: la chiave privata non ti abbandona mai, quindi gli intercettatori oi server che esegui l'autenticazione utilizzando la tua chiave privata non saranno in grado di utilizzare il credenziali che hai appena usato per autenticare ovunque.

Qui non ottieni nessuno di questi benefici. Anche se proteggi la connessione contro l'intercettazione (ad esempio tramite SSL / TLS), il phishing è ancora possibile.

Riesco a vedere alcuni aspetti negativi aggiuntivi:

Il server inizialmente si comporta come una pseudo-CA che emette il token istantaneamente la prima volta. Suona bene, ma dovrai certamente occuparti dei token perduti, dovendoli ri-emettere in pratica, quindi è probabile che qui ci sia un punto debole. (Problemi simili come l'autenticazione PKI, è valida solo come il lato amministrativo normalmente eseguito dalla CA.)
Gli utenti potrebbero perdere i loro token USB. Perché conservarlo su una chiavetta USB, in primo luogo, a proposito? Se si utilizza l'autenticazione del certificato client, tramite un token software o software, è generalmente possibile proteggere la chiave privata con una password o un PIN che è necessario immettere ogni volta che lo si utilizza. Questo causerà principalmente grandi problemi ai tuoi utenti legittimi, mentre sarà di grande aiuto per i potenziali aggressori (possono solo fare una copia della chiavetta USB, non è necessario rubarli).

Se si desidera qualcosa di simile ai token intelligenti USB hardware, ma non sono un'opzione, è possibile utilizzare gli archivi di certificati client basati su software (ad esempio PKCS # 12 / PFX). Non sono abbastanza buoni come token hardware perché il file può essere effettivamente copiato, ma almeno i file PKCS # 12 hanno meccanismi di protezione della password. (I meccanismi di autenticazione del certificato client generalmente hanno scarse interazioni nell'interfaccia utente, sfortunatamente.)