客户系统上支持工程师的认证
是否有任何好的方法来验证用户是主板工程师,或者至少有足够的信任来使用maint访问?该环境是在客户端站点上运行的代码,没有互联网访问,并且在访问之间运行多年。
以自动售货机为例,我怎么知道你是服务公司的,还是正在和给你密码的服务工程师交谈?我想阻止你在几周后再次使用这个密码,不过在接下来的几个小时内,如果它有帮助的话,那就可以了。
我们目前使用的长期密码,所以您首先登录(网站安全),然后输入主密码跳转到超级模式。唯一的问题是,一旦这个密码是已知的,我们不能真正改变它。
我不是追求完美的安全,只有用户必须有合理的信任才能访问主板模式。我在考虑一些挑战/响应,挑战问题每隔24小时左右就会发生变化,但是如果代码可能需要存储10年(单一版本的生命)的挑战/响应,我想知道这是否真的是一个好主意。我们只有键盘作为认证捕获设备。
回答 1
Security用户
发布于 2013-10-04 20:55:27
我会使用某种HOTP-esque系统-基于事件的一次性密码。想想一些人用随机数做的RSA密钥。您可以购买其中的一堆,并将它们交给您的工程师(不过,它们必须被编程到机器上),或者设置一些电话系统,让您的工程师打电话给OTP。
一个问题是你不能撤销偷来的钥匙。如果你把它们交给你的工程师,他们就会失去它或者离开而不归还,他们仍然可以进入。如果这些系统有精确的时钟(从实时时钟到+/-30秒),那么您可以得到一个基于时间的OTP系统。使用相同的6位数字代码,但是你的工程师在用他们的公司ID和密码离开工作之前,不能储存十几个数字。
你不用带钥匙就行了。缺点是,如果任何人都可以访问代码中的私钥,那么他们可以进入任何地方的任何机器。如果你能把它编译进去,你就做得很好了。
可以购买HOTP或TOTP dongles,也可以使用Linux命令随意生成它们。
简单方式
更简单的方法是由算法生成一个随机数。这个数字在特定的时间每天都在变化。这样,一个新的非雇员或被盗的代码不能使用超过一天。您实际上可以使用上面的HOTP示例,使用HOTP方法生成每日代码并对其进行验证。
https://security.stackexchange.com/questions/43365
复制相似问题
腾讯云开发者
