我的组织正试图从基于联系人的智能卡(因为我们的硬件供应商不再将它们集成到他们当前的系统中)转向某种其他形式的双因素身份验证。我们正在研究 NFC,我们有标准 ISO ID1 全卡尺寸的 NFC 卡(也带有内置触点),但我很难找到适合我们需求的基于 NFC 的读卡器。NFC 目前是否用于两因素身份验证?除了支持它的 yubi 密钥之外,我找不到任何关于它的文档。
第二个问题是我现在能找到的唯一 NFC 硬件是基于 USB 的。问题是这些机器将在现场处于危险的施工环境中,因此如果它们是基于 USB 的解决方案,则密钥可能会折断。我们进行了 USB 密钥身份验证,用户在端口中破坏了他们的密钥并损坏了他们笔记本电脑的主板。
基本上问题归结为:是否可以从软件的角度轻松地将 NFC 身份验证集成到我们当前的智能卡解决方案中?我认为硬件最终会发生变化,将 NFC 集成到大多数设备中。
是否以及如何将 NFC 集成到工业应用中是一个购物问题,对于本网站来说是题外话。
但是使用 NFC 进行第二因素身份验证的可取性很有趣。NFC 在 ID 卡中的使用并不像 NFC 所基于的更广泛的 RFID 规范那样流行。但是挑战是一样的:具体来说,如果 ID 令牌是一个简单的数字,那么读取卡片就是克隆卡片所需要做的全部工作。proxmark3 是渗透测试团队中流行的工具,它可以在相当远的距离读取并复制最流行的 ID 标签。
如果 ID 标签嵌入了加密密钥,那么围绕它的工具和架构必须非常复杂。但是这样的卡应该能够抵抗偷偷摸摸的克隆。
我将在这个问题上回答我自己的问题。我参加了 Microsoft 安全会议,并演示了 Windows 8.1 中内置 NFC 身份验证支持的新安全功能。未来有什么值得期待的……
是的,当然,有一些基于 RFID 和 NFC 标签 (Rohos) 的 Windows 登录商业 2FA 解决方案。由于书籍和法规中的 2FA 和 MFA 定义未指定“您拥有的东西”因素应抵抗克隆,因此它可以是任何类型的设备,您可以获得唯一 ID 以提供所有权。那些具有加密功能的 Token - 如 OTP/U2F 被认为是强身份验证设备。