尼古拉·科拉别尔尼科夫| 2015 年 6 月 3 日
众所周知,用户身份验证就是对其真实性的验证。身份验证的结果有两种:要么肯定地判定用户是其所声称的那个人,要么否定地判定用户是那个人。身份验证不应与授权混淆——授予用户权限和所有类型的访问权限。
在访问敏感信息时使用多种因素进行身份验证有助于保护该信息免遭第三方的未经授权的访问。不再使用简单的密码保护的做法不仅体现在登录远程银行等常用系统时,还体现在员工访问公司信息时。由于企业环境中的大多数应用程序都使用 Kerberos 协议的单点登录 (SSO) 功能,因此此类应用程序中的身份验证保护是通过保护操作系统登录来实现的。登录操作系统后,员工通常可以访问网络驱动器、邮件和公司门户,而无需重新输入密码。登录 Windows 时进行强身份验证有助于最大限度地减少他人凭据的非法使用。
使用智能卡在工作电脑上进行身份验证的做法在 IT 发达国家非常普遍,但在俄罗斯却被不公平地忽视了,而这种做法是 Windows 系列操作系统的一项标准,并且“开箱即用”。然而,在俄罗斯,PKI 芯片的另一种形式已经得到广泛传播:USB 令牌。会计师对令牌很熟悉,因为它主要用于远程银行系统、电子报告系统中的身份验证。这种外形尺寸很方便,因为它将 PKI 芯片和阅读器结合在一个设备中,但在物理个性化方面存在局限性。因此,很难使用 USB 令牌作为单一的身份验证手段。使用与标准银行卡形式相似的徽章的便利性已受到许多私营和公共公司的充分赞赏。毕竟,一张卡可以作为视觉识别器、非接触式通行证以及逻辑认证手段。为此,只 新西兰电报数据 需在卡上打印员工的照片和其他信息,在卡上安装非接触式 RFID 标签和接触式 PKI 芯片即可。
单一员工卡的概念减少了需要管理和支持的实体数量。此外,它还使员工的生活更加轻松。该卡具有多种功能,无需各种标记、通行证和代币。您不需要为单个员工卡设置难以猜测的密码,而是需要记住一个简短的 PIN 码,类似于银行卡的 PIN 码。
该卡允许您对员工施加一些限制,而不会造成任何特殊的不便,从而提高安全级别。与密码不同,将这样的卡传递给同事很不方便,因为没有它就无法在场所内走动,也无法在计算机上工作:当卡从读卡器中取出时,操作系统会阻止用户的会话。无法提取卡芯片上生成的加密密钥。也就是说,不可能克隆卡,因此即使 PIN 码已经被看到,也不可能使用重复的卡。