1.3. 使用证书验证 IdM 中用户的优缺点
在 IdM 中使用证书验证用户的优点包括以下几点:
- 与常规密码相比,智能卡上保护私钥的 PIN 通常不复杂、更容易记住。
- 根据设备的不同,无法导出保存在智能卡上的私钥。这提供了额外的安全性。
- 智能卡可以自动退出登录: IdM 可以配置为在用户从读卡器中移除智能卡时退出用户登录。
- 窃取私钥需要对智能卡的实际访问,这样可以防止智能卡遭受攻击。
- 智能卡验证是一双因素验证的一个示例:它要求您拥有某些东西(卡),知道某些东西(PIN)。
- 智能卡比密码更灵活,因为它们提供可用于其他用途的密钥,如加密电子邮件。
- 在作为 IdM 客户端的共享机器上使用智能卡不会给系统管理员带来额外的配置问题。事实上,智能卡验证对于共享机器来说是一个理想的选择。
在 IdM 中使用证书验证用户的缺点包括以下几点:
- 用户可能会丢失或忘记携带其智能卡或证书,并被有效锁住。
- 多次输错 PIN 可能会导致卡被锁住。
- 通常,在请求与某些安全官或批准人授权之间有一个中间步骤。在 IdM 中,安全官或管理员必须运行 ipa cert-request 命令。
- 智能卡和读卡器往往是特定于供应商和驱动程序的:虽然许多读卡器可用于不同的卡,但特定供应商的智能卡可能无法在另一供应商的读卡器或不是为其设计的读卡器类型中工作。
- 证书和智能卡对管理员来说有一个陡峭的学习曲线。