使用令牌和引脚登录到公司内部系统是否消除了使用常规用户名和密码的需要？

Question

我正在评估组织中的内部2因素身份验证实现。系统设计人员希望从所有用户工作站中删除常规用户名和密码，以便每个用户都有自己的徽章作为登录令牌，并且必须输入一个6位键才能登录到他的工作站。这是正常的做法吗？它是使场景更安全还是更不安全？作为一名安全评论员，我发现这降低了工作站的安全性，因为6位引脚很容易被肩部攻击捕获，盗取徽章也不是那么困难。常规用户名和强密码很难通过类似的攻击来捕获。请记住，我们谈论的是一个内部网络与许多其他技术控制。我的论点是，仅仅使用一张卡片和一个别针更容易受到内部的身体攻击。

Answer 1

在实践中，2因子auth指以下2项

• 你是什么样子
• 你知道的事
• 你拥有的东西

在这种情况下，他将用户名和密码替换为标记代码和徽章，这两种密码都在“您知道的东西”类别中，都属于“您拥有的东西”。因此，在该计算机上进行身份验证的方式可以忽略不计。

希望这能有所帮助。

Answer 2

你的场景有很多“如果”点。看到并记住别针，拿到徽章等。

通常，smartcard+pin被算作用户名/密码的加载项，但在特定情况下，它提供了足够的安全性，因为它实际上是(在某种程度上)2因素身份验证(您拥有的东西和您知道的东西)。

此外，智能卡上的证书可以撤销，所以如果卡被盗了，知道密码就不会有帮助了。