Active Directory 2-х факторная аутентификация со смарт-картами
Мне нужна двухфакторная аутентификация с помощью смарт-карт, поэтому я хочу войти в систему с помощью пароля и смарт-карты. Я знаю, что у смарт-карт есть пароли, но моей компании не нравится такое решение. Есть ли способ потребовать AD-User, пароль и смарт-карту для входа.
Для Yubikeys может потребоваться сложность PIN-кода. См. https://developers.yubico.com/yubikey-piv-manager/PIN_and_Management_Key.html Это может быть заскриптовано. См. https://developers.yubico.com/yubico-piv-tool/Manuals/yubico-piv-tool.1.html
Я также могу порекомендовать виртуальные смарт-карты TPM, которые позволяют легко создавать сценарии сложности PIN-кода, слишком.
Если я правильно понимаю, вы хотите по-прежнему использовать учетные данные AD для входа в систему, но со смарт-картой, поэтому вы по-прежнему используете сложные пароли, а не используете «пароль» смарт-карты, который является PIN-кодом?
Вы упомянули, что люди могут использовать «глупые» номера, такие как номера телефонов и т. д., если вы используете PIN-код. Однако даже 6-значный PIN-код со смарт-картой по-прежнему более надежен, чем традиционное имя пользователя/пароль.
Даже если кто-то использует свой номер телефона в качестве PIN-кода (конечно, не рекомендуется), злоумышленник все равно не сможет взломать учетную запись и войти в систему, если у него нет Yubikey.
2FA здесь означает то, что вы знаете и что у вас есть. Украсть Yubikey человека — это целенаправленное действие, означающее, что злоумышленник будет достаточно близко к человеку, и он, скорее всего, уже каким-то образом получил пароль (например, серфинг через плечо). Без пароля кража Yubikey была бы бессмысленной.
Другой сценарий: если кто-то потерял свой Yubikey, но, конечно, если кто-то случайно нашел Yubikey, то в любом случае это бесполезно.
Суть в том, что просто используйте PIN-код Yubikey, он может быть не таким сложным, как требования к паролю AD, но решение со смарт-картой по-прежнему намного безопаснее, чем имя пользователя/пароль.
Для дополнительной безопасности настройте Yubikey с сенсорной функцией. Это гарантирует, что даже если каким-либо образом сертификат и PIN-код будут скомпрометированы, эти данные нельзя будет использовать удаленно, поскольку системе потребуется дополнительное подтверждение, которое может быть сгенерировано только с помощью физического ключа.