استخدام رمز الجهاز لتسجيل الدخول

Question

أنا جديد في موضوع التشفير وأدرس PKI وPKCS وما إلى ذلك.أفهم المفهوم الأساسي لـ PKI وكيفية استخدامه للتشفير/فك التشفير.ومع ذلك، فأنا في حيرة من أمري بشأن كيفية استخدام رمز مميز للجهاز مثل رمز USB المميز أو البطاقة الذكية لتسجيل الدخول الآمن إلى جهاز الكمبيوتر الخاص بك.فيما يلي الخطوات كما أفهمها والجزء الذي أشعر بالحيرة منه (آسف مقدمًا على طول السؤال):

سيناريو:يحتوي الكمبيوتر xyz الموجود على الشبكة على بيانات لا يمكن الوصول إليها إلا للمستخدمين الذين ينتمون إلى المجموعة SECRET.المستخدمون Bob وJoe موجودون في هذه المجموعة وتم إصدار رموز USB مميزة يمكنهم استخدامها لتوفير بيانات الاعتماد التي ستمكنهم من الوصول إلى هذه الموارد.يستخدم رمز USB مصادقة ثنائية ويتطلب إدخال دبوس.الرمز متوافق مع PKCS11.

1. يقوم بوب بإدخال رمز USB المميز في جهاز Linux
2. تتعرف وحدة PAM-PKCS11 على هذا الحدث وتطلب من بوب إدخال رقم التعريف الشخصي الخاص به.
3. بمجرد قيام بوب بإدخال رقم التعريف الشخصي المكون من 4 أرقام بشكل صحيح، تتحقق الوحدة من صحة الشهادة على رمز Bob المميز عن طريق (وهذا يختلف، ولكن ما هو الحد الأدنى؟):
   • تحديد موقع الشهادة الجذرية للتحقق من وجود مرجع مصدق موثوق به
   • التحقق من تواريخ صلاحية الشهادات وقوائم الإلغاء
   • مطابقة المعرف الموجود على الرمز المميز مع ملف المستخدم (أين؟، خطوة مفقودة) أو الدليل (LDAP، وما إلى ذلك)
4. إذا بدا كل شيء على ما يرام، تقوم الوحدة بإبلاغ PAM بالنتيجة الناجحة.
5. تم تسمية هذا السطر بأنه كافٍ حتى يقبل PAM المصادقة ويتم تسجيل دخول Bob ويمكنه عرض المعلومات المقيدة للمستخدمين من مجموعة SECRET.

الجزء الذي أفتقده هو مكان المعلومات المخزنة حول ما إذا كان بإمكان بوب الوصول إلى هذا الجهاز أم لا ومدى ارتباطه بمستخدم الشبكة (أو حتى سطح المكتب).أدرك أنه سيتم تخزين بيانات التعريف الأخرى المتعلقة بـ Bob على USB بما في ذلك المعرف (على سبيل المثال، عنوان البريد الإلكتروني).ولكن كيف يكون هذا الأمن القوي؟أين يتم استخدام العملات المشفرة أثناء عملية تسجيل الدخول، إن وجدت (أم أن هذا ليس الغرض الحقيقي لهذه الرموز المميزة)؟إذا حصل شخص ما على USB ويعرف الدبوس المكون من 4 أرقام، فيبدو أن هذا هو كل ما هو مطلوب، أليس كذلك؟علاوة على ذلك، هل الثقة في CA هي التي تسمح بشكل أساسي بالثقة في أن مستخدمًا آخر لا يمكنه الحصول على رمز USB جديد واستخدام CA موثوق به للحصول على شهادة جديدة مع تحديد جميع بيانات التعريف لتكون مماثلة لبيانات Bob؟أعلم أن هناك جزءًا مهمًا أفتقده ..ولكن بعد قراءة عشرات المقالات، يبدو أن شرح هذا المجال قد تم تجاهله.هل من الجيد استخدام رمز الجهاز كوسيلة كافية للمصادقة لتسجيل الدخول إلى جهاز يحتوي على بيانات حساسة؟أم أن الغرض من هذه الرموز في المقام الأول هو تخزين أزواج المفاتيح المستخدمة في التطبيقات الأخرى بشكل آمن؟ شكرًا لمساعدتك!

Answer 1

PAM (كما يوحي الاسم) يتعامل مع المصادقة فقط.تتعلق المصادقة بإثبات هوية المستخدم، على سبيل المثال."أثبت لي من أنت الذي تقوله." هذا منفصل عن التفويض ، أي"هل لديك حق الوصول إلى هذا المورد؟".

هناك ثلاثة جوانب للمصادقة:
1.أنا أعرف
2.أملك
3.أنا أكون

تتناسب تركيبة اسم المستخدم/كلمة المرور النموذجية مع 1.في حين أن الرمز المميز، أو أي جهاز PKCS آخر، يتناسب مع الرقم 2، والقياسات الحيوية مثل التعرف على قزحية العين أو قراءة بصمات الأصابع تتناسب مع الرقم الثالث.

كلما زاد عدد هذه الجوانب في أمانك، كان الأمان أفضل/أكثر إحكامًا.في هذه الحالة، يتناسب تسجيل الدخول مع 1 و2، لذا فهو أكثر أمانًا من مجرد اسم المستخدم وكلمة المرور.إذا قام شخص ما بإخراج دبوسه منه وسرق جهازه، فنعم لن يثبت أنه يستخدمه.ولكن لن يحدث ذلك أيضًا إذا أعطى بوب اسم المستخدم وكلمة المرور الخاصة به لشخص ما أيضًا.

الهدف من الرمز المميز هو تقديم العامل الثاني المتمثل في "امتلاك" شيء ما، وحقيقة أنك تحتاج أيضًا إلى رقم تعريف شخصي يعني أن "معرفة" شيء ما مطلوب أيضًا.لذلك يمكن للنظام بعد ذلك أن يكون لديه ثقة أكبر في أن الشخص هو ما يدعيه.

الجزء المفقود الذي تشير إليه هو تفويض وهذا كما هو مذكور هو عملية منفصلة للمصادقة ولا يحدث إلا بعد أن يقوم المستخدم بمصادقة نفسه.في هذه الحالة، قام PAM بالمصادقة على Bob وقدم تأكيدًا لنظام التشغيل بأن Bob يستخدم النظام بالفعل.ومع ذلك، سيتعين على نظام التشغيل بعد ذلك إجراء بعض عمليات التحقق الأخرى في الخطوة 5 للتأكد من أن بوب لديه حق الوصول إلى المورد.