38.3. Os prós e contras do uso de certificados para autenticar usuários na IdM
As vantagens de usar certificados para autenticar usuários na IdM incluem os seguintes pontos:
- Um PIN que protege a chave privada em um cartão inteligente é normalmente menos complexo e mais fácil de lembrar do que uma senha comum.
- Dependendo do dispositivo, uma chave privada armazenada em um cartão inteligente não pode ser exportada. Isto proporciona segurança adicional.
- Cartões inteligentes podem fazer logout automático: O IdM pode ser configurado para logout de usuários quando eles retiram o cartão inteligente do leitor.
- Roubar a chave privada requer acesso físico real a um Cartão Smart Card, tornando os Cartões Smart Card seguros contra ataques de hacking.
- A autenticação por cartão inteligente é um exemplo de autenticação de dois fatores: requer tanto algo que você tem (o cartão) quanto algo que você conhece (o PIN).
- Os cartões inteligentes são mais flexíveis que as senhas porque fornecem as chaves que podem ser usadas para outros fins, como criptografia de e-mails.
- O uso de cartões inteligentes em máquinas compartilhadas que são clientes da IdM normalmente não apresenta problemas adicionais de configuração para os administradores do sistema. Na verdade, a autenticação de cartões inteligentes é a escolha ideal para máquinas compartilhadas.
As desvantagens de usar certificados para autenticar usuários na IdM incluem os seguintes pontos:
- Os usuários podem perder ou esquecer de trazer seu cartão inteligente ou certificado e ser efetivamente bloqueados.
- Digitar um PIN várias vezes pode resultar no bloqueio de um cartão.
- Geralmente há um passo intermediário entre o pedido e a autorização de algum tipo de oficial de segurança ou aprovador. Na IdM, o oficial de segurança ou administrador deve executar o comando ipa cert-request.
- Os cartões inteligentes e os leitores tendem a ser específicos do fornecedor e do motorista: embora muitos leitores possam ser usados para cartões diferentes, um cartão inteligente de um fornecedor específico pode não funcionar no leitor de outro fornecedor ou no tipo de leitor para o qual ele não foi projetado.
- Os certificados e cartões inteligentes têm uma curva de aprendizado íngreme para os administradores.