与使用单独的硬件身份验证器相比，所有“智能”in的风险权衡是什么？

Question

在现在的许多组织中，员工In是非常多功能的。它们可发挥以下作用：

• 视觉识别验证。(包括员工照片、姓名、身份证号码和面部其他细节)
• 大楼入口控制。(通过RFID、prox卡、条形码、磁条或智能芯片)
• 计算机访问控制。(智能芯片)
• 加密和数字签名证书存储。(智能芯片)

所有这些功能都可以方便地打包成一张卡，没有比普通信用卡更大或更厚的功能。但是，如果将后两种职能分开，对某些人来说可能更实用。也许他们可以使用一个徽章作为他们的可视ID和构建访问控制，而另一个徽章(或其他硬件认证器)用于证书存储和计算机访问控制，而不是一个完全统一的解决方案。

这两者之间的风险权衡是什么？

Answer 1

WRT到智能卡被用作计算机访问的身份验证因子，智能卡上的私钥可以由PIN/密码保护。因此，智能卡auth除了提供“您拥有的东西”之外，还可以提供“您所知道的”的附加因素。

对于大多数用户来说，与管理多组物理身份验证令牌的供应/分发和操作的成本相比，风险是可以接受的。我见过不同组织的人和顾问为他们所咨询的不同组织携带了一系列智能卡和usb令牌。诚然，为身份管理提供服务提供商模型还有一段时间，有一种趋势是提供更简单的auth模型(即外包的第二个因素模型、openid模型、hoth模型等等)。

对于风险较高的用户或地点，我经常看到其他身份验证的因素。例如，三个因素是相当常见的(生物特征，卡，针，重量)。此外，我还与一些组织合作过，在工作时间，我只需要在人工陷阱中展示卡片+生物特征，但在工作时间之后，我还需要使用一个额外的因素。此外，高风险用户通常会受到额外的隔离- auth密钥和签名密钥。因此，第二个设备用来包含一个不可否认的签名密钥来授权某些事务。

拥有非常敏感信息的组织和用户利用牺牲简单性和速度以实现安全的附加控制。即使是一个简单的人工陷阱也要花费更长的时间来为用户说话，而不是旋转风格。

尽管如此，合并所有功能的组织通常规模更大，有多个物理位置。这样的组织可以通过合并成一家供应商、一张卡等来实现成本节约。虽然我看到越来越多的中小型组织走上了统一访问控制的道路，但它们并不多见(密码仍然很常见，而且比实现硬件地址便宜得多)。

如果说有什么问题的话，安全101包括了一段长时间的短文和关于深入防御的讨论。只要识别和管理风险，合并功能不一定会带来更多的风险。

Answer 2

你为什么要把这两者分开？您可以使用PKI非接触式双接口卡和读取器来完成此操作，也可以为那些在敏感环境中需要额外安全性的人部署联系人卡。

使用带有13.56 MHz技术的非接触式卡和兼容的读取器对于需要第二个因素的用户来说是很好的高级身份验证工具。如果员工可以访问系统上的通用程序，那么为该用户购买一张双接口卡是没有意义的。有一张普通的非接触式卡就没问题了。

然而，一些用户可以访问高度敏感的信息，并且可能需要更强的信息。这可以通过在其表面嵌入金卡的接触式智能卡来实现，也可以通过启用PKI的双接口卡来实现，它看起来像普通的非接触式卡而没有金卡，并且允许用户具有两种形式的安全。这些卡的价格要贵得多，而且这可能会造成全面的成本限制。

解决这一问题的一个好办法是确定哪些用户可以访问哪些程序，然后决定谁会从使用更昂贵的卡中获益，而对于那些不使用更便宜的卡的用户，则坚持使用更便宜的卡。

成本是不使用两个单独的徽章的主要因素，而且用户更需要跟上。

我为公司工作的软件将管理所有这些，为大多数类型的卡片和读卡器，该软件包含其他功能，以及可以利用，如基于风险的认证，紧急访问，自复位的PIN和PKI证书等。您有很多选择在这里。