¿Hay algún punto en usar certificados de usuario en lugar de usar solo certificados de máquina?

Navega tus respuestas
0

He visto que los certificados de usuario se pueden almacenar en la computadora del usuario tal como lo harían los certificados de máquina.

Entiendo que sería muy seguro si el usuario hubiera colocado su clave privada en una tarjeta inteligente o USB, ya que entonces siempre estaría con él, como en su llavero junto a las llaves de su casa y del auto. Por lo tanto, los certificados de usuario le dan la ventaja de poder iniciar sesión en la red desde cualquier dispositivo usando su token de seguridad. Tal vez ese es el único punto de un certificado de usuario? Idk.

Pero si no está utilizando tokens, el certificado de usuario se instalará en la computadora del usuario. Eso es mucho menos seguro que él usando una contraseña para obtener autorización para la red. Él puede mantener la contraseña como un secreto memorizado dentro de su cabeza. Pero con los certificados, tiene que almacenarlo en la computadora. Entonces, si alguien tiene acceso a su computadora, puede exportar la clave privada. Entonces, listo, ahora alguien puede autenticarse en la red con su propio dispositivo usando el certificado y la clave privada que sacó del dispositivo de otra persona.

tl; dr : ¿Debería implementar certificados de usuario si no planea usar tokens de seguridad?

    
pregunta Zouzou Ibba 08.08.2017 - 21:08
fuente

1 respuesta

0

TL; DR : implemente certificados de usuario y desmarque la opción permitir que se exporte la clave privada al implementarlos. Para mayor seguridad, solicite a los usuarios que agreguen una contraseña a la clave privada.

Discusión

  

He visto que los certificados de usuario se pueden almacenar en la computadora del usuario tal como lo harían los certificados de máquina. Entiendo que sería muy seguro si el usuario hubiera colocado su clave privada en una tarjeta inteligente o USB, ya que entonces siempre estaría con él, como en su llavero junto a las llaves de su casa y su auto

Si un usuario pierde su tarjeta inteligente o dispositivo USB, el certificado se ve comprometido. Es mucho más probable que un usuario pierda el control físico de cualquiera de estas claves, comprometiendo así la clave.

Una unidad USB tiene protección cero contra la exportación de una clave privada. Al menos una tarjeta inteligente no permite exportar la clave privada una vez que se ha escrito en la tarjeta.

  

Pero si no está utilizando tokens, el certificado de usuario se instalará en la computadora del usuario. Eso es mucho menos seguro que él usando una contraseña para obtener la autorización de la red.

Depende de la contraseña. Una contraseña de 47 caracteres generada al azar con símbolos y números en la parte superior, inferior será bastante fuerte. "Mono" por otro lado ...

Desde el punto de vista matemático, los certificados de usuario son órdenes de magnitud más seguras que las contraseñas que el usuario promedio generalmente usará. Sin embargo, esto depende de su política de contraseña y base de usuarios, supongo.

  

Pero con los certificados, tiene que almacenarlo en la computadora. Entonces, si alguien tiene acceso a su computadora, puede exportar la clave privada. Entonces, listo, ahora alguien puede autenticarse en la red con su propio dispositivo usando el certificado y la clave privada que sacó del dispositivo de otra persona.

Los certificados de usuario se pueden implementar de manera que los La clave privada no es exportable . Asegúrese de que permitir que la clave privada se exporte no esté marcada.

Para mayor seguridad, también puede agregue una contraseña a la clave privada , pero esto carece de la conveniencia de la implementación automática a través de GPO. Y, con toda probabilidad, deberás dirigirte a cada usuario y hacer esto por ellos con el administrador del dominio y los privilegios de administrador local.

    
respondido por el DrDamnit 08.08.2017 - 23:38
fuente

Lea otras preguntas en las etiquetas

Aclaración sobre la protección de tipo de contenido "nosniff" ¿Cómo CAPTCHA mitiga los ataques DDoS?