it-swarm.com.de

Warum eine Smartcard für (Zwei-Faktor-) Authentifizierung anstelle eines anderen Mediums verwenden?

Ich habe Bitlocker kürzlich auf meinem Windows 8.1-Computer installiert und nur ein Kennwort verwendet. Ich dachte daran, etwas anderes als nur ein Passwort für mein Speicherlaufwerk zu bekommen, etwas Physisches, wie eine USB-, SD-Karte oder Smartcard!

Ich habe gefragt und herumgestöbert, und die Leute behaupten Folgendes:

Wenn Sie die Wahl zwischen einer Smart Card und einem anderen Speichermedium für 2FA oder einer regulären Authentifizierung haben, entscheiden Sie sich für die Smart Card, da diese sicherer ist.

Ich kann nicht wirklich herausfinden , warum es sicherer wäre, eine verschlüsselte SD-Karte, die mit dem Seitenschalter auf "schreibgeschützt" geschaltet wurde, wäre genauso sicher wie die Smartcard, richtig? (Das heißt, ein USB-Laufwerk kann durch Malware usw. überschrieben werden.).

Ist dieser Rat korrekt? Warum oder warum nicht? Ist eine Smart Card tatsächlich sicherer?

21
Lighty

Eine Smartcard hält ein Geheimnis verborgen und beantwortet eine Herausforderung, die beweist, dass sie das Geheimnis hat. Es sollte theoretisch niemals jemandem dieses Geheimnis verraten und es sollte nicht wiederherstellbar sein. Es gibt einige technische Möglichkeiten, wie Sie es umgehen können, aber die meisten davon sind für die Karte destruktiv. Dies bedeutet, dass Sie wissen, ob Ihre Smartcard kompromittiert wurde.

Ein verschlüsseltes USB-Laufwerk oder eine Speicherkarte kann dagegen einfach kopiert werden. Es gibt keinen Mechanismus, der es davor schützt, von einem Angreifer geklont zu werden. Es gibt einige USB-Sticks, die Hardwareschutz bieten, um unbefugten Zugriff zu verhindern, und diese wären eine praktikablere Option, aber es wäre eine Frage, ob selbst diese so gut geschützt sind wie eine gute Smartcard.

32
AJ Henderson

Es ist (theoretisch) schwieriger, eine Smart Card zu duplizieren. Sie können ein USB-Laufwerk problemlos duplizieren.

Wenn ich beide stehle, sind Sie gleichermaßen in Schwierigkeiten, aber wenn ich den USB stehle, dupliziere ich ihn und ersetze ihn, ohne dass Sie es wissen. Dann sind Sie in Schwierigkeiten und Sie wissen es nicht.

21
schroeder

Bei der Festplattenverschlüsselung muss der Host einen Hauptschlüssel behalten oder ableiten, der irgendwo im Speicher aufbewahrt wird. Dies ist also Ihr größtes Problem. Ich habe Aspekte des SafeNet ProtectFile-Produkts und anderer Smartcard-Stapel implementiert, damit ich mir der Herausforderungen sehr bewusst bin.

Denken Sie keine Minute lang, dass Sie echte Sicherheit haben. Es gibt "digitale forensische Geräte", die den Systemspeicher erfassen und analysieren, indem sie einfach einen USB-Stick an einen Geräteanschluss anschließen. Sie nutzen "Fehler" der USB-Hardware aus. Es ist bekannt, dass Banken aufgrund dieser bekannten Probleme USB-Anschlüsse oder Aryldyte-USB-Anschlüsse an Workstations entfernen. Es ist fast trivial, den Festplattenverschlüsselungsschlüssel aus dem Speicher zu beziehen und dann eine Festplatte mit den verfügbaren Tools zu entschlüsseln. Dies ist ein Aspekt, wie Strafverfolgungsbehörden Beweise sammeln und Kriminelle vor Gericht stellen können.

Für Ihren speziellen Anwendungsfall ist nichts sicherer als das, was Sie in Ihrem Kopf halten können. Es geht also darum, ob Sie glauben, dass Ihr Gehirn eher Informationen verliert als irgendeine Technologie.

Ich würde eine lange bedeutungslose Phrase verwenden und sie regelmäßig ändern, basierend auf Ihrem Grad an Paranoia. Aussprechbare Passphrasen sind leichter zu merken und vorausgesetzt, Sie verwenden eine ausreichend lange, haben Sie eine bessere Sicherheit als jedes Gerät (einschließlich Smartcards) in diesem Fall. Ich beziehe Verfügbarkeit als Sicherheitsdimension ein und bevorzuge für den persönlichen Gebrauch die Verfügbarkeitseigenschaften meiner Person mehr als Flash, das bei einer Arbeitsunfähigkeit erworben werden könnte. Unternehmen bevorzugen möglicherweise ein alternatives Modell, das nicht darauf angewiesen ist, dass Wetware am Leben ist und funktioniert, um die Verfügbarkeit aufrechtzuerhalten.

Smartcard-Messaging-Protokolle können einen MITM-Angriff zwischen dem Kartenchip und dem Host-Computer ohne ein vorher vereinbartes Geheimnis nicht verhindern (dies unterscheidet sich von der Karte PIN und wird tatsächlich zum Schutz des Nachrichtenflusses zwischen verwendet) Karte und Host/Computer) und es gibt viele heimliche Möglichkeiten, USB zu belauschen. Das Einrichten dieses Geheimnisses auf allen Karten, die auf allen Computern/Workstations verwendet werden sollen, stellt einen Alptraum für die königliche Konfiguration in Unternehmensbereitstellungen dar, sodass es selten jemals durchgeführt und bekannt wird In den Smartcard-Stapel integrierte Schlüssel werden verwendet. Selbst wenn Sie sich die Mühe gemacht haben, haben Sie jetzt überall ein Geheimnis installiert, so dass es kaum noch geheim ist. Für diesen Anwendungsfall ist eine Smartcard nur von Hand winkend und wirklich Nicht besser als etwas auf einer Tastatur zu tippen, aber es kann leichter fehlschlagen oder "verloren"/"gestohlen" werden.

Da eine Smartcard in diesem speziellen Anwendungsfall nicht mehr als Sicherheit auf Tastaturebene bieten kann, würde ich entweder eine lange Passphrase verwenden oder einen schreibgeschützten Flash-Stick in Betracht ziehen, der einen großen Teil zufälliger Daten mit einer Passphrase/einem Passwort enthält, und make Stellen Sie sicher, dass Sie eine sichere Offline-Sicherung dieses billigen chinesischen Flashs haben!

6
Andrew Hacking

Ich sehe zwei Punkte:

  1. sie können ein PIN für Smartcards zum Entsperren festlegen. Im Gegensatz zu Passwörtern kann dieses PIN nicht offline brutal erzwungen werden, solange die Smartcard dies nicht ist) geöffnet und modifiziert. Es sind Schutzvorrichtungen eingebaut, um dies zu verhindern. Sie sind nicht unmöglich zu brechen, bieten aber einen sehr guten Schutz.

  2. Dies hängt von der Konfiguration der Smartcard selbst ab, aber höchstwahrscheinlich haben Sie eine nicht kopierbare (wie bei sehr schwer zu kopierenden) Smartcard. Der Inhalt von USB-Sticks kann jedoch jederzeit kopiert werden. Wenn Sie versuchen, einen Kopierschutz für USB-Sticks einzuführen, möchten Sie grundsätzlich eine Smartcard erstellen.

1
user10008