¿Cuáles son las ventajas y desventajas de las identificaciones “inteligentes” todo en uno frente a usar un autenticador de hardware separado?

5

En muchas organizaciones en estos días, las identificaciones de los empleados son muy funcionales. Pueden servir como:

  • Verificación de la identidad visual. (Incluyendo foto del empleado, nombre, número de identificación y otros detalles en la cara)
  • Control de acceso al edificio. (Vía RFID, tarjeta de proximidad, código de barras, banda magnética o chip inteligente)
  • Control de acceso a la computadora. (Chip inteligente)
  • Cifrado & Almacenamiento de certificados de firma digital. (Chip inteligente)

Todas estas funciones se pueden empaquetar convenientemente en una tarjeta, no más grande ni más gruesa que una tarjeta de crédito común. Sin embargo, puede ser más práctico para algunos si las dos últimas funciones estuvieran separadas. En lugar de una solución completamente todo en uno, tal vez podrían usar una credencial como identificación visual y control de acceso del edificio, y otra credencial (u otro autenticador de hardware) para el almacenamiento de certificados y el control de acceso a la computadora.

¿Cuáles serían las compensaciones de riesgo entre estos?

    
pregunta Iszi 02.05.2012 - 15:03
fuente

2 respuestas

4

WRT a la tarjeta inteligente que se usa como un factor de autenticación para el acceso a la computadora, la clave privada de la tarjeta inteligente puede protegerse mediante un PIN / contraseña. Así que la autenticación con tarjeta inteligente también puede proporcionar el factor adicional de "lo que sabes" además de "lo que tienes".

Para la mayoría de los usuarios, los riesgos son aceptables cuando se comparan con el costo de administrar el aprovisionamiento / distribución y la operación de múltiples conjuntos de tokens de autenticación física. He visto a personas en diferentes organizaciones y consultores llevar una cadena de tarjetas inteligentes y tokens de usb para las diversas organizaciones para las que están consultando. Por supuesto, ofrecer un modelo de proveedor de servicios para la administración de identidades aún está lejos, hay una tendencia a ofrecer modelos de autenticación más simples (es decir, autenticación de segundo factor subcontratada, openid, hoth, etc.).

Para usuarios o ubicaciones de mayor riesgo, a menudo veo factores adicionales para la autenticación. Por ejemplo, tres factores son bastante comunes (biométrico, tarjeta, pin, peso). Además, he trabajado con organizaciones en las que solo necesito presentar una tarjeta + biométrica en un mantrap durante el horario comercial, pero después del horario laboral, también necesito usar un factor adicional. Además, los usuarios de alto riesgo generalmente están sujetos a una segregación adicional de las claves de autenticación en lugar de las claves de firma. Entonces, hay un segundo dispositivo que se usa para contener una clave de firma no repudiada para autorizar ciertas transacciones.

Las organizaciones y los usuarios con información muy confidencial aprovechan los controles adicionales que sacrifican la simplicidad y la velocidad por la seguridad. Incluso una simple mantra lleva más tiempo para autenticar a un usuario que turnstyle.

Dicho esto, las organizaciones que consolidan todas las funciones suelen ser de mayor tamaño con múltiples ubicaciones físicas. Dichas organizaciones pueden obtener ahorros de costos al consolidarse en un solo proveedor, una tarjeta, etc. Aunque he visto que más pequeñas y medianas organizaciones siguen la ruta del control de acceso consolidado, son pocas y distantes entre sí (las contraseñas aún son comunes y, con diferencia, más barato que la implementación de autenticación de hardware).

En todo caso, la seguridad 101 incluye una larga propaganda y una discusión sobre la defensa en profundidad. Las funciones de consolidación no necesariamente generan más riesgos mientras se identifiquen y gestionen.

    
respondido por el bangdang 02.05.2012 - 16:38
fuente
0

¿Por qué querrías separar los dos? Puede hacer esto con un lector y una tarjeta de interfaz dual sin contacto PKI, o simplemente implementar tarjetas de contacto para aquellos que necesitan seguridad adicional en entornos sensibles.

El uso de una tarjeta sin contacto con tecnología de 13.56 MHz y un lector compatible es excelente para la autenticación avanzada de los usuarios que necesitan un segundo factor. Si el empleado tiene acceso a programas genéricos en el sistema, entonces no tiene sentido gastar más en una tarjeta de interfaz dual para este usuario. Estarían bien con una tarjeta regular sin contacto.

Sin embargo, algunos usuarios tienen acceso a información altamente confidencial y es posible que necesiten algo más fuerte. Esto se puede lograr con la tarjeta inteligente de contacto que tiene el chip de oro incrustado en su superficie o una tarjeta de interfaz dual que está habilitada para PKI y parece una tarjeta sin contacto regular sin el chip de oro, y permite al usuario tener ambas formas de seguridad . Estas tarjetas son mucho más caras y su costo puede ser prohibitivo en todos los ámbitos.

Una buena solución para esto es hacer un mapa de qué usuarios acceden a qué programas, y luego decidir quién se beneficiaría con el uso de las tarjetas más caras, y seguir con las más baratas para aquellos que no lo hacen.

El costo es el factor principal para no usar dos credenciales separadas, y es más para el usuario tener que mantenerse al día.

La compañía para la que trabajo tiene un software que administrará todo esto para la mayoría de los tipos de tarjetas y lectores, y el software contiene otras características que también pueden utilizarse, como la autenticación basada en riesgos, el acceso de emergencia, el restablecimiento automático del PIN. y Certificados PKI, etc. Tienes muchas opciones aquí.

    
respondido por el Lynn Kinsey 17.08.2012 - 18:43
fuente

Lea otras preguntas en las etiquetas