Мы хотим, чтобы наши пользователи в компании входили в свои компьютеры с помощью USB-флеш-дисков или чего-то еще. Есть ли способ добиться этого, не покупая USB-токен у компании?
Жетоны безопасности - это процессоры с защитой от несанкционированного доступа. USB-накопители - это носители информации. По сути, это две разные вещи. Вы сравниваете яблоки и апельсины.
Маркер безопасности содержит секрет (закрытый ключ, начальное значение генератора случайных чисел и т. Д.), Который невозможно (легко) удалить с устройства. Эта устойчивость к взлому является причиной того, что устройство (да и вся система, основанная на этих устройствах) имеет какие-либо свойства безопасности. С разумной степенью уверенности можно сказать, что биты внутри токена безопасности существуют только внутри этого токена и не могут быть скопированы на другие токены / устройства.
Флэш-накопители USB (по крайней мере, подавляющее большинство) не являются активными элементами обработки. Они не могут выполнять криптографические операции (подписывать сообщение, генерировать HMAC сообщения и т. Д.), А биты, которые они хранят, по замыслу легко копируются.
Злоумышленник (включая скомпрометированный компьютер, в случае токенов безопасности, которые физически прикреплены к компьютеру) не может украсть секрет из токена безопасности (по крайней мере, такова идея).
Вы можете просто сохранить закрытый ключ, защищенный паролем, на USB-накопителе и использовать его при аутентификации. Не знаю, как бы вы упростили это для пользователя (зависит от вашей ОС), но это вариант.
Как уже указывалось, вы, вероятно, не хотите, чтобы это была единственная проверка подлинности, так как ее можно украсть, потерять и т. Д. Но это было бы дешево и действительно считается частью трехфакторной проверки подлинности, которую, я думаю, вы пытаетесь достичь.
Отвечая на часть вашего вопроса "что-то еще" - я использовал PINsafe вертлюга продукт на пару лет, что дает то, что они называют 2,5-факторной аутентификацией. Это не совсем то, что вы ищете, но после первоначальных инвестиций в продукт у вас не будет затрат на распространение каких-либо устройств, но он довольно безопасен от всех, кроме самых сложных регистраторов ключей. Если бы вы беспокоились об этом, вы, вероятно, не стали бы искать дешевое решение :-)
Большинство USB-накопителей для этого не предназначены. Вы можете взглянуть на Yubico в более дешевой части спектра.
Собираетесь ли вы использовать USB-устройство в качестве единственного механизма аутентификации? Я полагаю, что нет, но если так, подумайте, что произойдет, если он потеряется, или если один из младших сотрудников офиса «одолжит» устройство генерального директора, или если кто-то оставит его дома.
Существуют USB-устройства, которые дублируют функции хранения сертификатов смарт-карт, поэтому на них стоит обратить внимание, но, НАВЕРНУТЬСЯ, они все «USB-токены», которых вы хотите избежать.
Подойдет ли clauer.nisu.org вашей цели? Он пытается создать скрытый раздел на стандартном USB-устройстве. Однако для работы требуются определенные программы и довольно продвинутая настройка.