Назад | Перейти на главную страницу

OTP против токенов на основе сертификатов

В настоящее время я изучаю варианты двухфакторной системы аутентификации для нашей компании. В настоящее время я изучаю плюсы и минусы токенов на основе сертификатов по сравнению с токенами на основе одноразового пароля (OTP) (наиболее распространенным является RSA SecurID). Первоначально он будет просто защищать нашу VPN, но на более позднем этапе может включать и другие службы.

Насколько я понимаю, токены на основе сертификатов имеют много преимуществ перед токенами OTP. Они поддерживают другие применения, такие как предзагрузочная аутентификация, полное шифрование диска, подпись электронной почты и т. Д. Токены на основе сертификатов настраиваются на месте и не требуют, чтобы кто-то вроде RSA производил их на заказ. Я понимаю, что для них требуется PKI, которую не все готовы устанавливать или поддерживать, тогда как токены OTP этого не делают.

Несмотря на то, что вышесказанное предполагает, что токены на основе сертификатов кажутся лучшим вариантом в наши дни, у меня сложилось впечатление - возможно, ошибочное - что токены OTP по-прежнему намного популярнее. Просто ли они дешевле и / или проще в реализации, чем токены на основе сертификатов? Я что-то упускаю? Верна ли моя оценка плюсов и минусов? Почему вы предпочли бы одно другому и в какой ситуации?

Я думаю, что ваша оценка в основном верна, и я не думаю, что есть что добавить. Поддержка PKI - убийца для многих людей.

Еще одно преимущество некоторых токенов на основе OTP заключается в том, что для них часто не требуется драйвер. Токены, отображающие OTP, явно не нуждаются в драйвере. А некоторые токены OTP (например, Yubikey) эмулируют клавиатуру и не требуют специального драйвера. Для токенов на основе сертификатов требуется доступ к USB-порту и установленный драйвер.

Другие варианты использования токенов на основе PKI не особо интересуют большинство людей. Как правило, все, что вам нужно для аутентификации, и все, что вы могли бы сделать с токеном, напрямую не связано. И, как правило, компании не хотят, чтобы вы использовали свой токен аутентификации ни для чего другого. Им становится неудобно думать, что вы можете загружать в токен другие вещи (например, сертификаты электронной почты).

Кроме того, некоторые считают преимуществом неизменность и заводское программирование токенов OTP. Они видят в этом меньше ошибок и на один шаг меньше. Для крупных компаний они просто покупают партию токенов, загружают один файл в свой компьютер, и они «просто работают».

Токены сертификатов и токены OTP в некоторой степени похожи, но на практике их реализации сильно различаются.

Вкратце я бы описал так:

OTP - легкое, точечное решение, простая, проприетарная интеграция. Менее безопасный, менее совместимый, более высокая стоимость аутентификатора

Сертификат / PKI - сверхмощное, широкое решение, чрезвычайно совместимое, универсальное, пригодное для физического и логического доступа

Более подробное описание следует

OTP

  • Стандартная основа: как правило, проприетарные решения, могут существовать решения OSS
  • Стоимость OTP-аутентификатора: 25 - 150 за единицу + серверное ПО
  • уровень интеграции усилий: низкий
  • интеграция: ограничивается покрываемыми продуктами (немного)
  • Совместимость с OSS: нет
  • Собственный: да
  • совместимость с партнерами или правительствами: нет
  • можно использовать для PACS: нет
  • можно использовать для LACS: да
  • можно использовать в качестве идентификатора: идентификаторы токенов неизвестны.
  • можно использовать для хранения файлов: нет
  • уровень безопасности: средний
  • дублирование токенов для резервных копий: возможно, но никогда не видел
  • токены сервера: считается, что не существует
  • может использоваться автономными корпоративными приложениями для машин: нет
  • форм-факторы: очень ограниченные
  • легко использовать с приложениями командной строки: нет
  • крючки для приложений: очень ограниченные, если таковые имеются.
  • программные реализации: нет
  • аппаратные реализации: только
  • настройка: мало / нет
  • интеграция с воздушными зазорами: нет
  • интеграция с автономными компьютерами: нет
  • требуется промежуточное ПО: нет
  • Рекомендуется / требуется сторонний клиент проверки: нет
  • требуется драйвер считывателя: нет
  • управление через Active Directory / GPO: минимальное
  • совместимость с мобильными устройствами: редко, если поддерживается

Сертификат / PKI

  • Стандартная основа: x509 PKI вместе с опубликованными RFC, коммерческими реализациями и реализациями OSS
  • Стоимость аутентификатора OTP: 5-35 за единицу + серверное ПО
  • уровень интеграции усилий: низкий
  • интеграция: практически неограниченная; В моем агентстве насчитывается более 200 сценариев использования интеграции.
  • Совместимость с OSS: да
  • Собственный: нет
  • возможность взаимодействия с партнерами или правительством: да
  • можно использовать для PACS: да
  • можно использовать для LACS: да
  • можно использовать как идентификатор: да
  • можно использовать для хранения файлов: да
  • уровень безопасности: высокий
  • дублирование токенов для резервных копий :: возможно безопасным способом
  • серверные токены: существуют во многих форм-факторах
  • удобство использования автономными корпоративными приложениями для машин: да
  • форм-факторы: чрезвычайно масштабируемые, множество устройств
  • легко использовать с приложениями командной строки: да
  • крючки для приложений: существуют для многих приложений
  • программные реализации: да
  • аппаратные реализации: да
  • настройка: обширная
  • интеграция с воздушными зазорами: да
  • интеграция с автономными компьютерами: да
  • требуется промежуточное ПО: да
  • Рекомендуется / требуется сторонний клиент проверки: да
  • требуется драйвер считывателя: иногда, в основном для старых операционных систем
  • управление через Active Directory / GPO: обширное
  • совместимость с мобильными устройствами: автоматическая смена ключей поддерживается iOS и Android

OTP проблемы:

Я видел много реализаций OTP, в которых пользователям по-прежнему требуется использовать токен OTP для событий аутентификации, но затем они должны перейти к дополнительной системе сертификатов программного обеспечения для зашифрованной электронной почты. Это приводит к небезопасным ситуациям, и OTP менее удобен для пользователя. Поскольку у OTP очень мало точек интеграции, их можно использовать в основном как точечное решение по сравнению с PKI.

Проблемы с сертификатом / PKI:

Во многом это сводится к хорошему планированию и надежной реализации PKI. Когда вы говорите о полной корпоративной PKI, вы говорите о большом объеме инфраструктуры. Смотрите мой пост на https://serverfault.com/a/377230/40488 за хорошие примеры объема инфраструктуры, о которой мы говорим. Несмотря на то, что PKI считается дорогостоящим, есть компании, которые могут использовать его для бизнеса как услугу, переданную на аутсорсинг, дешевле, чем вы можете выдержать. Кроме того, вы привержены стандарту x509, поэтому было бы неплохо прочитать работы Гуттмана по этому вопросу.

Вывод:

Я бы рекомендовал вам принять решение о том, какой аутентификатор, основываясь на количестве точек интеграции.

Если вы собираетесь использовать его только для входа в систему через VPN и Windows, а также только для проверки подлинности нескольких приложений, OTP может быть лучше.

Если вам нужен вход в систему через VPN, вход в Windows, безопасную электронную почту (SMIME), облачные приложения, полное шифрование диска, использование с утилитами командной строки, SSH и обширную интеграцию с продуктами OSS, подключитесь к вашему решению MDM для мобильных устройств. , или потенциальное повторное использование в качестве идентификационного значка или токена физического доступа, или регулируемых отраслей, или государственного типа работы, где безопасность имеет первостепенное значение, я бы выбрал систему сертификатов / PKI в одном из многих форм-факторов смарт-карт.

С токенами на основе OTP обычно проще обращаться. Для администратора и для пользователя.

К сожалению, у токенов на основе OTP есть один недостаток: они не работают в автономном режиме. Вот почему вы можете использовать смарт-карты для аутентификации перед загрузкой и аутентификации в автономном режиме с вашим ноутбуком.

Некоторые решения OTP могут попытаться выполнить автономную аутентификацию, но если вы серьезно об этом думаете, трудно действительно быть двух факторов. Я бы назвал это полуторным.

Есть несколько решений, которые могут управлять токенами OTP и смарт-картами.

За исключением очень высокого уровня, я не уверен, насколько они сопоставимы.

Карты бинго и одноразовые планшеты очень популярны. Это буквально противоположность реализации смарт-карты. В этом нет ничего привлекательного. Внедрение традиционных смарт-карт является дорогостоящим и сложным, и 99% организаций, которые его исследуют, принимают академическое решение.

Я не считаю ни один из перечисленных вами вариантов значительными преимуществами. Что нужно организации для многофакторного решения, так это возможность требовать его для любой аутентификации. Это не позволяет злоумышленнику (легко) использовать учетную запись без смарт-карты. Обратной стороной, однако, является то, что, кажется, всегда есть некоторые приложения, которые не работают, если это необходимо, и должен быть какой-то обходной путь. По сути, это будет любое приложение, которое запрашивает учетные данные Windows (при условии, что вы используете Windows), но не распознает и не поддерживает смарт-карты. Пользовательские веб-приложения довольно просто включить смарт-карту. Проприетарных приложений не так уж и много.

Это касается только мяса и картофеля. Значительное внимание следует уделять репутации и качеству поставщика и продукта. Для смарт-карты требуется драйвер ядра, она должна быть прозрачной и надежной. На практике это может работать не так хорошо. Это, вероятно, варьируется между поставщиками.