Queremos que nossos usuários na empresa façam login em seus computadores usando seus discos flash USB ou qualquer outra coisa. Existe uma maneira de conseguir isso sem comprar um token USB de uma empresa?
Respostas:
Os tokens de segurança são processadores resistentes a violações. Os discos flash USB são mídias de armazenamento. Essas coisas são, fundamentalmente, duas coisas diferentes. Você está comparando maçãs e laranjas.
Um token de segurança contém um segredo (chave privada, semente do gerador de números aleatórios, etc.) que não pode (facilmente) ser removido do dispositivo. Essa resistência à violação é a razão pela qual o dispositivo (e, de fato, um sistema inteiro baseado nesses dispositivos) possui propriedades de segurança. Você pode dizer, com um grau razoável de certeza, que os bits dentro do token de segurança existem apenas dentro desse token e não podem ser copiados para outros tokens / dispositivos.
Um disco flash USB (pelo menos, a grande maioria) não é um elemento de processamento ativo. Eles não podem executar operações criptográficas (assinar uma mensagem, gerar o HMAC de uma mensagem etc.) e os bits que armazenam são, por design, fáceis de copiar.
Um invasor mal-intencionado (incluindo um computador comprometido, no caso de tokens de segurança fisicamente conectados ao computador) não pode roubar o segredo de um token de segurança (pelo menos, essa é a ideia).
A maioria dos discos flash USB não é projetada para isso. Você pode dar uma olhada no Yubico no final mais barato do espectro.
Você pretende usar o dispositivo USB como o único mecanismo de autenticação? Suponho que não, mas se sim, considere o que acontece se ele for perdido, ou se um dos juniores do escritório "emprestar" o dispositivo do gerente geral ou se alguém o deixar em casa.
Existem dispositivos USB que duplicam a funcionalidade de armazenamento de certificado de cartão inteligente, pelo que vale a pena examinar - mas o AFAIK são todos os "tokens USB" que você deseja evitar.
Você pode simplesmente armazenar uma chave privada protegida por senha em uma unidade flash USB e usá-la em sua autenticação. Não tenho certeza de como você facilitaria isso para o usuário (depende do seu sistema operacional), mas é uma opção.
Como apontado, você provavelmente não quer que essa seja a única autenticação, pois pode ser roubada, perdida etc. Mas seria barato e conta como parte da autenticação de três fatores, que eu acho que é o que você está tentando alcançar.
Respondendo à parte "outra coisa" da sua pergunta - eu uso o produto PINsafe da Swivel há alguns anos, o que dá o que eles chamam de autenticação de 2,5 fatores. Não dá exatamente o que você está procurando, mas após o investimento inicial no produto, você não tem o custo de distribuir nenhum dispositivo, mas é bastante seguro contra todos, exceto os keyloggers mais elaborados. Se você estivesse preocupado com isso, provavelmente não estaria procurando uma solução barata :-)
O site clauer.nisu.org serviria a seu propósito? Ele tenta criar uma partição oculta em um dispositivo USB padrão. No entanto, requer programas específicos e algumas configurações bastante avançadas para prosseguir.