Domande con tag 'hardware-token'

5
risposte

Token hardware vs token software basato su impronte digitali

Mi viene data una scelta tra le procedure di autenticazione di due banche e ho bisogno di aiuto per scegliere l'opzione più sicura e conveniente. Opzione "token hardware": L'autenticazione nella piattaforma web avviene tramite nome utente / p...
posta 15.11.2017 - 11:08
6
risposte

Quando dovrei inviare più di un dispositivo multifattore a un utente? Va bene dare diversi gettoni attivi contro nessuno?

La maggior parte del pensiero IT.Sec convenzionale che ho visto afferma che un utente può avere solo un dispositivo di autenticazione a più fattori. Mi piacerebbe sfidare quel de facto-pensiero e chiedere se c'è un'occasione in cui: Più di...
posta 08.01.2013 - 15:12
2
risposte

Autenticazione a due fattori con PIN: dove / come si inserisce il PIN?

Supponiamo di avere due siti Web con meccanismi 2FA altrimenti identici. Meccanismo 1 Devi inserire un PIN nel tuo generatore di token per recuperare la tua password One Time. Sul sito web, si utilizza la password e l'OTP da solo per acc...
posta 11.08.2017 - 10:21
1
risposta

Crea certificato senza chiave privata o usando USB eToken

Considerando questo thread: Crea certificato senza chiave privata con OpenSSL Ho una situazione molto simile. Ho un USB eToken 5110 JC (Aladdin) che ha una chiave privata inaccessibile, poiché è l'obiettivo principale. Posso usare pkcs...
posta 14.05.2018 - 19:02
1
risposta

C'è un vantaggio nell'impostare un codice di sicurezza su un account che ha già un 2FA basato sul telefono?

Sto esaminando le opzioni 2FA per il mio account Google e ho notato che ora consentono di aggiungere una chiave di sicurezza al tuo account. Sono un po 'novizio per l'infosec, ma sto lottando per vedere il vantaggio per me. Il mio telefono copre...
posta 04.04.2018 - 09:39
1
risposta

Buone pratiche per proteggere un certificato macchina dall'estrazione

Considera il seguente scenario: Stai fornendo l'accesso VPN per un numero di computer che eseguono Windows 10. Le macchine sono configurate e temprate in base agli standard aziendali. Ci si basa su certificati macchina per l'autenticazio...
posta 13.08.2018 - 10:47
2
risposte

Perché è necessario un HSM per proteggere i certificati CA (anziché un normale token USB)?

Tipici token USB (Nitrokey, YubiKey ...) consentono a un utente comune di memorizzare le chiavi PGP e di usarle per crittografare e-mail, hard disk e così via. Gli stessi fornitori offrono anche prodotti distinti denominati HSM ( Nitrokey HSM...
posta 11.07.2018 - 11:37
4
risposte

Che cosa sono chiamati i dispositivi TOTP dedicati?

Vorrei acquistare un dispositivo che può essere fornito con un seme segreto e quindi visualizza un token di autenticazione basato sul tempo senza mai rivelare il seme. Poiché termini come 2FA , TOTP e Authenticator sono quasi garantiti p...
posta 31.03.2018 - 03:41
2
risposte

Come gestire i token di aggiornamento

Sto provando a racchiudere l'autenticazione basata su JWT (JSON Web Token) per la protezione degli endpoint API utilizzando i token di accesso. Sto proteggendo questi endpoint richiedendo all'utente di avere un token di accesso valido per ottene...
posta 30.09.2018 - 13:47
1
risposta

svantaggi intrinseci delle soluzioni OTP basate su browser?

Disponiamo già di due tipi di generatori OTP: (a) come hardware (token) (b) come software (ad es. autenticatore di Google, RedHats freeOTP) Ora ho visto soluzioni basate su browser come OTP SecureAuth disponibile come app Chrome. [< - corre...
posta 29.05.2017 - 15:16