Problemas de seguridad de autenticación de token USB

0

En primer lugar, debo mencionar que leí este hilo y fue útil en mi caso, pero necesito más comentarios y revisiones sobre este método de autenticación. USB Token authentication del que quiero hablar es:

1- Inicio de sesión del usuario en el servidor con username y password

2- solicitudes del servidor para algunas credenciales USB como número de serie, fecha de caducidad, etc.

3- El usuario llena los parámetros solicitados y los envía al servidor

4- El servidor genera un token de inicio de sesión y lo firma con su private key

5- El usuario descarga el token y lo guarda en una memoria flash USB cifrada.

Ahora, cada vez que un usuario desea iniciar sesión en el servidor, el servidor solicita un nombre de usuario, contraseña y token. El usuario carga el token de su USB al servidor. El servidor verifica la firma con su public key y, si se verifica, el usuario puede iniciar sesión.

Desde el punto de seguridad, sé que la memoria flash USB no es tan segura como los tokens inteligentes PKI. Debido a que el token es exportable y no tiene un estándar TPM , sin embargo, me pregunto qué otros problemas de seguridad tiene este mecanismo.

    
pregunta A23149577 30.06.2014 - 10:38
fuente

1 respuesta

0

No parece proporcionar mucho más sobre la autenticación de nombre de usuario y contraseña. Su token se convierte efectivamente en una contraseña secundaria que, en el mejor de los casos, es difícil de recordar.

Los principales beneficios de los tokens inteligentes PKI y la autenticación de certificado de cliente son que evitan los ataques de phishing y phishing: la clave privada nunca lo abandona, por lo que los espías o servidores a los que se autentica usando su clave privada no podrán usar el credenciales que acaba de utilizar para autenticar en cualquier lugar.

Aquí, no obtienes ninguno de estos beneficios. Incluso si protege la conexión contra escuchas ilegales (por ejemplo, a través de SSL / TLS), el phishing todavía es posible.

Puedo ver algunas desventajas adicionales:

  • Su servidor inicialmente actúa como una pseudo-CA que emite el token instantáneamente la primera vez. Suena bien, pero ciertamente tendrás que lidiar con tokens perdidos, tener que volver a emitirlos en la práctica, por lo que es probable que haya una debilidad aquí. (Problemas similares a la autenticación PKI, es tan bueno como el lado administrativo que normalmente realiza la AC).

  • Sus usuarios pueden perder sus tokens USB. Por cierto, ¿por qué tenerlo almacenado en una memoria USB? Si usa la autenticación de certificado de cliente, a través de una ficha física o de software, generalmente puede proteger la clave privada con una contraseña o PIN que deberá ingresar cada vez que la use. Esto causará principalmente grandes problemas a sus usuarios legítimos, mientras que será ideal para posibles atacantes (solo pueden hacer una copia de la memoria USB, no es necesario que la roben).

Si desea algo similar a los tokens inteligentes de hardware USB, pero no son una opción, puede usar almacenes de certificados de cliente basados en software (por ejemplo, PKCS # 12 / PFX). No son tan buenos como los tokens de hardware porque el archivo se puede copiar de manera efectiva, pero al menos los archivos PKCS # 12 tienen mecanismos de protección de contraseña. (Desafortunadamente, los mecanismos de autenticación del certificado del cliente generalmente tienen malas interacciones en la IU).

    
respondido por el Bruno 30.06.2014 - 11:16
fuente

Lea otras preguntas en las etiquetas