59.3. 인증서를 사용하여 IdM의 사용자를 인증하는 장단점
IdM의 사용자를 인증하는 인증서를 사용하면 다음과 같은 사항이 포함됩니다.
- 스마트 카드에서 개인 키를 보호하는 PIN은 일반적으로 일반 암호보다 덜 복잡하고 기억하기 쉽습니다.
- 장치에 따라 스마트 카드에 저장된 개인 키를 내보낼 수 없습니다. 이는 추가적인 보안 기능을 제공합니다.
- 스마트 카드는 로그아웃을 자동으로 만들 수 있습니다. reader에서 스마트 카드를 제거할 때 사용자를 로그아웃하도록 IdM을 구성할 수 있습니다.
- 개인 키를 포착하려면 스마트 카드로 실제 물리적으로 액세스해야 하므로 해커 공격으로부터 스마트 카드를 안전하게 보호할 수 있습니다.
- 스마트 카드 인증은 이중 인증의 예입니다. 이 인증에는 있는 내용(카드)과 PIN( PIN)이 모두 필요합니다.
- 스마트 카드는 이메일 암호화와 같은 다른 목적에 사용할 수 있는 키를 제공하기 때문에 암호보다 더 유연합니다.
- IdM 클라이언트인 공유 시스템에서 스마트 카드를 사용하면 일반적으로 시스템 관리자에게 추가 구성 문제가 발생하지 않습니다. 실제로 스마트 카드 인증은 공유 시스템에 이상적인 선택입니다.
IdM에서 사용자를 인증하기 위해 인증서를 사용하는 단점은 다음과 같은 사항이 포함됩니다.
- 사용자는 스마트 카드나 인증서를 가져오는 것을 잊어버리거나 잊고 효과적으로 잠길 수 있습니다.
- PIN을 여러 번 잘못 입력하면 카드가 잠길 수 있습니다.
- 일반적으로 일종의 보안 책임자 또는 승인자의 요청과 권한 사이의 중간 단계가 있습니다. IdM에서 보안 책임자 또는 관리자는 ipa cert-request 명령을 실행해야 합니다.
- 스마트 카드와 리더는 벤더와 드라이버에 고유한 경향이 있습니다. 많은 독자가 다른 카드에 사용할 수 있지만 특정 벤더의 스마트 카드는 다른 벤더의 리더나 설계되지 않은 리더 유형에서 작동하지 않을 수 있습니다.
- 인증서와 스마트 카드는 관리자를 위한 고급 학습 곡선을 갖추고 있습니다.