（Two Factor）Authに別のメディアではなくスマートカードを使用する理由

スマートカードを複製することは（理論的には）困難です。 USBドライブを簡単に複製できます。

両方を盗んだ場合も同様に問題が発生しますが、USBを盗んだ場合は、複製してから、知らないうちに交換すると、問題が発生し、分からなくなります。

ディスクの暗号化では、ホストがメモリ内に保持されているマスターキーを保持または取得する必要がありますどこかこれが最大の問題です。 SafeNet ProtectFile製品とその他のスマートカードスタックの側面を実装したので、課題をよく理解しています。

少しの間、本当のセキュリティがあるとは思わないでください。 USBスティックをデバイスポートに差し込むだけでシステムメモリのスナップショットを作成して分析する「デジタルフォレンジックデバイス」があり、USBハードウェアの「バグ」を利用しています。これらの既知の問題により、銀行はワークステーションのUSBポートを削除したり、Aryldyteしたりすることが知られています。メモリからディスク暗号化キーを取得し、利用可能なツールを使用してハードディスクを復号化するのはほとんど簡単です。これは、法執行機関が証拠を収集し、犯罪者を裁判にかけることができる方法の1つの側面です。

特定のユースケースでは、頭の中で保持できるものより安全なものはありません。ですから、脳が何らかのテクノロジーよりも情報を失う可能性が高いと考えるかどうかという問題です。

私は意味のない長いフレーズを使用し、あなたの妄想のレベルに基づいて定期的に変更します。発音可能なパスフレーズは覚えやすく、このインスタンスで提供できる他のデバイス（スマートカードを含む）よりも優れたセキュリティを備えた十分な長さのパスフレーズを使用できます。私は可用性をセキュリティの次元として含めており、個人的な使用では、私が無力になった場合に取得できるフラッシュよりも個人の可用性特性を好みます。エンタープライズは、ウェットウェアに依存せずに稼働し、可用性を維持するために機能する代替モデルを好む場合があります。

スマートカードメッセージングプロトコルは、事前に合意されたシークレットなしでは、カードチップとホストコンピュータ間のMITM攻撃を防止できません（これはカードとは異なりますPINカードとホスト/コンピュータ）、USBを盗聴する多くの不正な方法があります。すべてのマシン/ワークステーションで使用されるすべてのカードにこのシークレットを設定することは、企業展開でのロイヤル構成の悪夢を表すため、これはめったに行われず、よく知られている修正されていますスマートカードスタックに組み込まれたキーが使用されます。問題が発生した場合でも、あちこちにシークレットがインストールされているため、シークレットはほとんどありません。この使用例では、スマートカードは手で振るだけで、キーボードで何かをタイプするよりはましですが、簡単に失敗したり、「紛失」/「盗難」されたりする可能性があります。

したがって、この特定の使用例では、スマートカードがキーボードレベルのセキュリティ以上のものを提供できない場合、長いパスフレーズを使用するか、パスフレーズ/パスワード付きのランダムデータの大きなチャンクを含む読み取り専用のフラッシュスティックを検討して、安い中国のフラッシュの安全なオフラインバックアップを確実に保管してください！

私は2つの点を見ます：

1. PIN Smartcardsのロックを解除するように設定できます。パスワードとは異なり、このPINは、スマートカードがオフラインでない限り、ブルートフォースでオフラインにすることはできません。開封され改造されています。これを防ぐための保護機能が組み込まれています。破壊することは不可能ではありませんが、非常に優れた保護を提供します。

2. スマートカード自体の構成によって異なりますが、ほとんどの場合、コピーできない（コピーするのが非常に難しい）スマートカードがあります。ただし、USBスティックのコンテンツはいつでもコピーできます。USBスティックにコピー防止機能を導入しようとすると、基本的にスマートカードを作成する必要があります。