Uso de certificados del lado del cliente para la autenticación

8

¿Por qué no se utilizan los certificados del lado del cliente para la autenticación? Luego, el usuario debe recordar solo una contraseña para desbloquear su cuenta de Windows que almacena los certificados. Entiendo que si los usuarios acceden a sitios web desde diferentes máquinas, los certificados deben estar sincronizados. Pero con una contraseña segura para la cuenta de Windows, ¿no es conveniente y más seguro que los usuarios se autentiquen utilizando certificados del lado del cliente?

¿Estoy asumiendo que algo está mal aquí?

    
pregunta Curious 11.11.2014 - 05:53
fuente

2 respuestas

4

El motivo más apremiante es que las personas inician sesión desde varias computadoras : PC doméstica, computadora portátil, tableta, PC de trabajo, PC de amigos, cibercafé, etc. sincroniza sus certificados, ya sea a través de un servicio en la nube o un dispositivo físico que lleva, esto está más allá de la capacidad de la mayoría de los usuarios.

Ahora, ¿podría alguien crear un servicio de autenticación que haga esto por usted? ¿Que se encarga de todos los certificados bajo el capó? Bueno, eso es exactamente lo que Mozilla Persona

El segundo motivo es que hay millones de sitios web que ya usan contraseñas . Cambiar todo esto para usar algún otro esquema de autenticación (ya sea OAuth, SRP, certificados o cualquier otra cosa) sería una tarea enorme, y ¿por qué molestaría un sitio web? ¿Cuál es el incentivo para ellos?

Debido a esto, los administradores de contraseñas son una tecnología mucho más práctica para resolver el problema de autenticación. Ok, no son tan seguros como los certificados de cliente, pero las diferencias son bastante menores. Los sistemas como LastPass le dan una interfaz de inicio de sesión único y trabajan con (casi) cualquier sitio web.

    
respondido por el paj28 11.11.2014 - 10:55
fuente
3

Veo dos razones principales:

  1. una autenticación basada en certificado es compleja de explicar. Hoy en día, casi todos entienden cómo usar una autenticación basada en contraseña; Incluso si todas las reglas de seguridad (lo suficientemente largas, compuestas por una combinación de dígitos, letras y caracteres especiales, la mayoría se cambian de vez en cuando, no deben compartirse ...) no siempre se aplican, casi todo el mundo las conoce. Cambiar a una autenticación basada en certificado requiere volver a educar a los usuarios para que nos expliquen cómo funciona y cómo usarlos (qué es un certificado, qué es una clave privada, dónde se almacena, por qué no funciona desde mi móvil). teléfono...). Además, a los usuarios no les gusta cambiar sus hábitos.

  2. La gestión de certificados es compleja y costosa. El uso de contraseñas, incluso de forma segura, requiere solo un par de líneas de código en su aplicación y algunas columnas adicionales en su base de datos. Si desea distribuir certificados a los usuarios de su aplicación, debe configurar una Infraestructura de clave pública . Por experiencia, sé que crear una PKI es complejo desde el punto de vista técnico y también organizativo : tiene que lidiar con el registro de usuarios, la distribución de certificados, la revocación de certificados, la publicación de las listas de revocaciones de certificados, el certificado políticas ...

Un ejemplo: hace algunos años, la aplicación web del servicio fiscal francés decidió reemplazar el sistema de autenticación de certificado (el certificado también se usó para la firma digital) por una autenticación de contraseña simple. Las razones: la complejidad de explicar cómo usar a los usuarios (por ejemplo, el certificado tenía un período de validez de 3 años pero la mayoría de los usuarios solicitaban uno nuevo cada año) y los costos de la infraestructura requerida para administrar estos miles de certificados. .

    
respondido por el Jcs 11.11.2014 - 10:14
fuente

Lea otras preguntas en las etiquetas