Я знаю о смарт-картах для входа на компьютеры с активным каталогом, но мне было интересно, есть ли менее ограничительное (и менее дорогое) решение.
Я ищу что-то вроде утилиты, которая позволяет мне создавать подписанные «файлы входа в систему», а затем я могу просто скопировать эти файлы в любой USB-диск. Когда пользователь хочет войти в систему, он может просто подключить ключ USB с файлом на нем и автоматически войти в систему.
Очевидно, я (как администратор) мог просто отозвать эти подписанные файлы и при необходимости создать новые подписанные.
Есть такая утилита / решение?
Не совсем. Вы не можете использовать старые носители информации. Они делают USB Smart Sticks (на самом деле смарт-карта в форме USB-накопителя). Проблема в том, как работает проверка с помощью смарт-карт.
Это общая / упрощенная версия процесса: «серверное» приложение знает публичный сертификат смарт-карты. Он создает одноразовый номер и шифрует его с помощью общедоступного сертификата. Затем он отправляет клиенту зашифрованный одноразовый номер; клиент пересылает его на смарт-карту. Смарт-карта расшифровывает его с помощью закрытого ключа; затем одноразовый номер отправляется обратно на сервер (обычно повторно зашифрованный, но это тривиально для этого процесса).
Обратите внимание, что клиентский компьютер никогда не видит частный сертификат. Таким образом, клиентский компьютер не может сделать копию частного сертификата, а токен всегда необходим для аутентификации. Если бы это можно было скопировать, это было бы небезопасно; «преступник» может скопировать вашу карту, вернуть ее, и вы не узнаете, что у них есть ваш механизм аутентификации.
Смарт-карты для входа в PKI (вход в Windows AD) не очень дороги *, если вы избегаете упакованных решений. Конечно, эти комплексные решения упрощают весь процесс и требуют гораздо меньше знаний с вашей стороны.
*Афина делает смарт-карту PKI по 36 долларов каждая (дешевле оптом).
*Aladdin делает eToken Pro USB за 65 долларов
Боковое примечание: я бы действительно не рекомендовал использовать токены для полной замены паролей. По крайней мере, я бы рекомендовал выдать закрытые ключи с паролем и установить срок действия на год; даже простой пароль будет очень эффективным в этой ситуации (хотя вам все равно следует избегать словарных слов и всего явно очевидного).
Если вы ищете другую систему двухфакторной аутентификации, есть ряд других возможностей, помимо смарт-карт, таких как HOTP (5 долларов или меньше).