En primer lugar, debo mencionar que leí este hilo y fue útil en mi caso, pero necesito más comentarios y revisiones sobre este método de autenticación. USB Token authentication
del que quiero hablar es:
1- Inicio de sesión del usuario en el servidor con username
y password
2- solicitudes del servidor para algunas credenciales USB como número de serie, fecha de caducidad, etc.
3- El usuario llena los parámetros solicitados y los envía al servidor
4- El servidor genera un token de inicio de sesión y lo firma con su private key
5- El usuario descarga el token y lo guarda en una memoria flash USB cifrada.
Ahora, cada vez que un usuario desea iniciar sesión en el servidor, el servidor solicita un nombre de usuario, contraseña y token. El usuario carga el token de su USB al servidor. El servidor verifica la firma con su public key
y, si se verifica, el usuario puede iniciar sesión.
Desde el punto de seguridad, sé que la memoria flash USB no es tan segura como los tokens inteligentes PKI. Debido a que el token es exportable y no tiene un estándar TPM
, sin embargo, me pregunto qué otros problemas de seguridad tiene este mecanismo.