Sitio web seguro con certificado de máquina único

0

¿Es posible permitir el acceso a un sitio web solo para clientes específicos en máquinas específicas?

No soy un experto en seguridad, pero una idea que tuve fue generar un certificado que funcionaría solo en una máquina específica (por lo tanto, si el certificado fue robado, no funcionaría en otras computadoras) y luego de alguna manera usarlo para autorizarme en el sitio web (además de proporcionar un nombre de usuario y contraseña).

Los requisitos de seguridad son muy altos, y me gustaría evitar desarrollar una aplicación de escritorio por razones de escalabilidad y mantenibilidad, pero la seguridad se convierte en un problema.

¿Se puede lograr esto en la web o debería ser una aplicación puramente local?

Apreciaría cualquier material de lectura sobre este tema. Gracias.

    
pregunta Shahin Dohan 21.09.2016 - 14:43
fuente

2 respuestas

1

No puedes pegar clientes a sus dispositivos. Al menos, no hay un protocolo adecuado que compruebe también los dispositivos cliente. Como se sugirió, su única opción es usar TPM para almacenar certificados de autenticación de clientes.

Las tarjetas inteligentes son transferibles a otros dispositivos (por lo tanto, un usuario autorizado puede usar un dispositivo / computadora no autorizada), por lo tanto, es posible que no se ajuste a sus requisitos.

    
respondido por el Crypt32 21.09.2016 - 17:28
fuente
1

Use la autenticación de cliente TLS y solo confíe en el certificado del emisor específico en el servidor. Por supuesto, debe poder inscribir a sus clientes de forma segura para usar esto, y la clave privada del cliente debe mantenerse segura. Un método es emitir tarjetas snart a los clientes.

La autenticación del cliente se utiliza principalmente para la comunicación de máquina a máquina en lugar de los navegadores web en la actualidad.

    
respondido por el Maarten Bodewes 21.09.2016 - 15:14
fuente

Lea otras preguntas en las etiquetas