使用USB密钥保护应用程序是最佳选择吗?
如果不是,在使用应用程序之前,以需要有效用户的形式保护应用程序的最佳方法是什么?
我问这个问题的原因是客户最近要求我制作一个应用程序,要求在使用或运行应用程序之前将特定的USB设备插入系统.基本上,该应用程序是一种医疗软件,并且客户端认为这种安全方法更受信任,因为该应用程序包含其客户的敏感数据.在丢失的情况下,我可以告诉用户如何在命令行模式下使用app生成另一个安全密钥.
最佳答案 不一定是问题的答案,但到目前为止,在回答问题和评论时需要考虑的一点……
USB密钥本身不会比基于密码的身份验证更安全.它仍然是单因素,可能会丢失/被盗等.客户可能真正想要的是,无论是不知道还是没有正确表达它,都是多因素身份验证.考虑这些:
>你知道的东西(密码,问题答案等)
>你有的东西(USB密钥,限时密钥生成密钥卡等)
>你的东西(指纹,视网膜扫描等)
大多数系统仅使用第一个系统.为了增加安全性,您可以添加第二个.对于任务:不可能的风格高清安全,扔进第三个.这个想法是任何一个因素都可以伪造,但增加新的因素会增加新的安全维度,这会使指数更加困难(而不是在用“更好”的因素替换一个因素时线性更难).