web-dev-qa-db-ja.com

軍以外のスマートカードを使用している組織はありますか?

軍のCommon Access Card(CAC)は合法のようです。他の会社/組織がその使用を採用していますか?そうでない場合、なぜですか?

[〜#〜] update [〜#〜]他の方法と比較して、スマートカードの長所/短所は何ですか?

6
David

CACカード自体は、米国国防総省でのみ使用されます。しかし、同様のカードが他の場所で使用されています。 「類似」とは、画像やその他の安全なID情報を持ち、PKIを使用する埋め込みチッププラスチックカードを意味します。

ご覧のように、CACスタイルのカードを最も強く採用しているのは、伝統的に他の形式のIDを発行している政府機関です。

5
Mark Beadles

建物へのアクセス、コンピューターまたは端末(例:Citrix)へのアクセス、またはその両方にスマートカードを使用するさまざまな組織を知っています。これは、予想通りの組織です。攻撃者が承認されていないアクセスを取得した場合に大きな影響を与える組織です。

また、@ ewanm89がコメントしたように、ほとんどのヨーロッパの銀行カードはスマートカードになり、一部の銀行ではこの認証を使用しています(たとえば、私の銀行の1つでは、カードをカードリーダーに挿入し、PINを入力してから、支払い認証ページを入力し、カードの暗号機能でページに戻って番号を入力すると、カードが実際にあることと、PINがわかっていることを証明できます)

4
Rory Alsop

他の方法と比較して、スマートカードの長所/短所は何ですか?

過去18か月間に、そのRSAセキュリティトークンを作成した会社が侵害されました。数十万のデバイス(顧客が使用中)に関する情報が漏洩した。この情報により、RSAセキュリティデバイスが電子メールを保存する最も安全な方法の1つである限り、この情報へのアクセス権を取得した犯罪者は、他の企業情報にアクセスできます(ただし、その攻撃にはソーシャルエンジニアリングの側面もありました)。デバイスアクセス。

Common Access Cards(別名Smart Cards)には、PKIセキュリティ証明書が含まれていました。他に誰がそれらを使用しているのかは話せません。防衛請負業者と政府機関の両方で使用されているのを見ました。

カードに1つの弱点があることを指摘したように、セキュリティ証明書によって暗号化された情報を解読するために使用される人的要素、パスワード、および/またはピンを取得できます。カードの証明書情報を抽出する手段を提供するクライアントの1つにエクスプロイトがあります。

これらのスマートカードの重要な側面は、カードにのみ含まれている証明書にアクセスできる必要があることです。カードがシステムから見えなくなると、証明書はシステムから削除されます。適切なシステム構成が必要です。

中間者攻撃は防ぐことができますが、攻撃者が証明書を使用する能力を持っている間、攻撃者はアクセスしかできません。

短い期間(2〜3年)で有効期限が切れる証明書は必須です。

3
Ramhound

多くの企業は、認証にさまざまなハードウェアデバイス(RSA SecurIDなど)を使用しています。他の多くの組織がセキュリティのためにスマートカード(CACカードなど)を使用しているのかわかりません。

スマートカードとCACカードの制限の1つは、PC上のマルウェアから保護されないことです(例: man-in-the-browser attack )。特に、コンピューター上のマルウェアは、キーロガーを使用してPINを記録します(これはキーボードで入力され、スマートカードに送信されるため)。その後、スマートカードに任意の要求を送信できます。署名。これは基本的に中間者攻撃であり、マルウェアはユーザーとスマートカードの中間に侵入します。スマートカードには独立した入力チャネルまたは出力チャネルがないため、そのことを知る方法がありませんこの方法でだまされると、スマートカードはマルウェアが要求するものに署名します。したがって、PC上のマルウェアは、スマートカードのすべてのセキュリティ上の利点を完全に無効にします(RSA SecurIDデバイスについても同様です)。

つまり、CACカードまたはスマートカードによって提供される主な利点は、ローカルマシンにマルウェアが存在しない限り、リモートサイトへの安全な認証をサポートすることです。ただし、他の多くのハードウェアデバイス(RSA SecurIDなど)にも同様の利点があるため、スマートカードの付加価値については議論の余地があります。

CACカードに関するウィキペディアのエントリ および CACカードを無効にすることを目的としたマルウェアの例 も参照してください。

2
D.W.

もちろん、政府やあなたは、あらゆる種類の組織が、従業員の指定を簡単に識別し、簡単に検索できる多機能IDカードを利用していると言えます。 警察IDカード

0
user52861