1.3. 使用证书验证 IdM 中用户的优缺点
使用证书验证 IdM 中用户的优点包括:
- 与常规密码相比,保护智能卡上私钥的 PIN 通常不复杂、更容易记住。
- 根据设备,无法导出保存在智能卡上的私钥。这提供了额外的安全性。
- 智能卡可以自动注销: IdM 可以配置为在用户从读卡器中删除智能卡时注销用户。
- 窃取私钥需要对智能卡的实际访问,从而使智能卡免受黑客攻击。
- 智能卡验证是一个双因素验证的示例:它需要您拥有的东西(卡)和您知道的东西(PIN)。
- 智能卡比密码更灵活,因为它们提供可用于其他用途的密钥,如加密电子邮件。
- 在作为 IdM 客户端的共享机器上使用智能卡不会给系统管理员带来额外的配置问题。事实上,智能卡验证对共享机器来说是一个理想选择。
使用证书验证 IdM 中用户的缺点包括:
- 用户可能丢失或忘记携带其智能卡或证书,并被有效锁住。
- 错误输入 PIN 多次可能会导致卡被锁。
- 通常,在请求与某些安全官员或批准人的授权之间有一个中间步骤。在 IdM 中,安全官员或管理员必须运行 ipa cert-request 命令。
- 智能卡和读卡器往往特定于供应商和驱动程序:虽然许多读卡器可用于不同的卡,但特定供应商的智能卡可能无法在另一供应商的读卡器或不是为其设计的读卡器类型中工作。
- 证书和智能卡对管理员来说有一个很陡的学习曲线。