La tarjeta de acceso común (CAC) de los militares parece legítima. ¿Otras empresas / organizaciones emplean su uso? Si no, ¿por qué?
ACTUALIZACIÓN ¿Cuáles son los pros / contras de las tarjetas inteligentes, en comparación con otros métodos?
Las tarjetas CAC en sí mismas son utilizadas solo por el Departamento de Defensa de los Estados Unidos. Pero las tarjetas similares se utilizan en otros lugares. Por "similar" me refiero a las tarjetas de plástico con chip incorporado que llevan una imagen y otra información de identidad segura y que usan PKI.
Como puede ver, tienden a ser organizaciones gubernamentales que tradicionalmente han emitido otras formas de identificación que son las que adoptan con mayor fuerza las tarjetas de estilo CAC.
Sé de una variedad de organizaciones que usan tarjetas inteligentes para acceder a edificios, acceso a computadoras o terminales (por ejemplo, citrix) o para ambos. Es el tipo de organizaciones que usted esperaría: las que tienen un alto impacto si un atacante obtiene acceso no autorizado.
También, como comentó @ ewanm89, la mayoría de las tarjetas bancarias europeas ahora son tarjetas inteligentes, y algunos bancos usan esta autenticación (por ejemplo, uno de mis bancos me pedirá que inserte mi tarjeta en un lector de tarjetas, ingrese mi PIN y luego ingrese un número de una página de autenticación de pago y escriba el número que una función criptográfica de la tarjeta me devuelve a la página para demostrar que tengo la tarjeta físicamente, además de saber el PIN)
¿Cuáles son las ventajas y desventajas de las tarjetas inteligentes, en comparación con otros métodos?
En los últimos 18 meses, la compañía que fabrica esos tokens de seguridad RSA se vio comprometida. se filtró información sobre cientos de miles de sus dispositivos (en uso por sus clientes). Esta información permitió a los delincuentes que obtuvieron acceso a esta información, acceder a la información de otra compañía (aunque para ser justos, también hubo un aspecto de ingeniería social de ese ataque) siempre que la información permanezca a salvo de los dispositivos de seguridad RSA es una de las formas más seguras de comunicación electrónica. acceso al dispositivo.
Las tarjetas de acceso común (también conocidas como tarjetas inteligentes) contenían un certificado de seguridad pki. No puedo hablar con quién más los usa, los he visto tanto utilizados por un contratista de defensa como por las agencias gubernamentales.
Como se señaló, hay una debilidad en las tarjetas, el elemento humano, la contraseña y / o el pin utilizado para descifrar la información cifrada por el certificado de seguridad puede ser recolectado. Existe una vulnerabilidad en uno de los clientes que proporciona un medio para extraer la información del certificado en la tarjeta.
El aspecto importante de estas tarjetas inteligentes es que debe tener acceso al certificado que solo se encuentra en la tarjeta. Cuando la tarjeta ya no es visible para el sistema, el certificado se elimina del sistema, la configuración correcta del sistema es una necesidad.
Un hombre en el ataque central puede ser prevenido, pero si sucede, el atacante solo tiene acceso, mientras que tiene la capacidad de usar el certificado.
Los certificados que caducan dentro de una pequeña cantidad de tiempo (2 a 3 años) son obligatorios.
Muchas empresas utilizan varios dispositivos de hardware (por ejemplo, RSA SecurID) para la autenticación. No sé cuántas otras organizaciones usan tarjetas inteligentes (como la tarjeta CAC) por seguridad.
Una limitación de las tarjetas inteligentes y las tarjetas CAC es que no protegen contra el malware en su PC (por ejemplo, la man-in-the - Ataque del navegador ). En particular, el malware en su computadora puede registrar su PIN usando un registrador de teclas (ya que está escrito en su teclado y solo luego se envía a la tarjeta inteligente), y luego puede enviar solicitudes arbitrarias a la tarjeta inteligente para su firma. Esto es básicamente un ataque de hombre en el medio, con el malware en medio entre el usuario y la tarjeta inteligente. Dado que la tarjeta inteligente no tiene un canal de entrada ni un canal de salida independientes, no tiene forma de saber que se está engañando de esta manera, y la tarjeta inteligente firmará todo lo que el malware solicite. Por lo tanto, el malware en su PC anula completamente todos los beneficios de seguridad de la tarjeta inteligente. (Lo mismo ocurre con los dispositivos RSA SecurID).
Esto significa que, posiblemente, el principal beneficio proporcionado por una tarjeta CAC o una tarjeta inteligente es que admite la autenticación segura en un sitio remoto, siempre que no haya malware en su máquina local. Sin embargo, muchos otros dispositivos de hardware (por ejemplo, RSA SecurID) ofrecen beneficios similares, por lo que el valor agregado de una tarjeta inteligente es discutible.
Vea también entrada de Wikipedia en tarjetas CAC y un ejemplo de malware destinado a eliminar la tarjeta CAC .
Sí, por supuesto, Gobierno o usted puede decir que cualquier tipo de Organización hace uso de Tarjetas de identificación multifuncionales que permiten identificar fácilmente la designación de los empleados y buscar fácilmente. tarjetas de identificación policial
Lea otras preguntas en las etiquetas authentication smartcard multi-factor