假設您想在SSL加密的登錄名/密碼之上添加額外的憑證層,但您不希望增加用戶的複雜性。是否有一種方法可以將擁有加密狗的要求添加到具有現有跨平臺瀏覽器功能的網絡服務器身份驗證方案中?如何讓一個網站只有當有人有加密狗時才能訪問?
換句話說,要訪問網站,您需要一個用戶名,密碼和已插入客戶端計算機的USB加密狗。加密狗大概會做某種挑戰/迴應。
如果此加密狗解決方案自動使用Firefox或僅添加一個插件,它將是理想選擇。
想法和建議表示讚賞。
你可能會感興趣Yubikey。
它是一個小巧的USB適配器,充當USB鍵盤(即不需要特殊的驅動程序或客戶端軟件),並且專門爲這種認證而設計。
您可以使用RSA SecurID令牌,它們是改變每分鐘顯示的數字的小鑰匙串顯示。除了要求用戶名和密碼之外,您還可以要求他們輸入他們在令牌上看到的號碼,以確認他們有硬件設備。有各種硬件加密狗,有些甚至需要輸入PIN才能看到不斷變化的數字。服務器端的額外複雜性,但客戶端沒有太多的麻煩。
這將需要一些有權訪問加密狗的東西。還存在黑客攻擊的問題 - 溝通不會被隱藏,因此您必須確保無關緊要。這意味着加密狗將不得不實施它自己的crpyto。您還需要支持您要支持的任何系統。
我看到這變得非常複雜非常快。
我也使用了Yubikey,效果很好。另一個類似的解決方案是Swekey - 你可能也想檢查一下。
我已經使用Dinkey Dongles和DinkeyWeb系統實現網站驗證和登錄的好結果。
用戶將USB安全加密狗插入他們的機器,訪問您的「受保護」網頁,並在加載頁面之前驗證加密狗。沒有特殊的權限或特權。
希望它有幫助。
任何類型的複製保護真的很糟糕。包括加密狗。軟件狗可能是最糟糕的。祝你好運。 – GeoffreyF67 2009-01-26 20:30:48
@ GeoffreyF67爲什麼唯一的用例是用於複製保護?這可能是關於額外的安全性。 – michaelmichael 2010-07-11 20:31:40
@michaelmichael:很對。在提出這個問題時,我的擔心與拷貝保護無關(事實上拷貝保護從來沒有跨過我的想法,但我認爲這是對加密狗的一種使用) - 認證訪問功能是我擔憂的根源。 – 2010-07-11 22:31:25