1

TLDR:我正在寻找基于软件的双因素身份验证系统。

摘要:我正在尝试找到一个等效于 SSL 客户端证书的解决方案,除了所述证书将在浏览器与服务器的第一次连接时最佳生成。

长版:我想使用 PKCS#11 样式的身份验证系统自动生成安全令牌,以便当用户使用某个登录代码访问网站时,该计算机始终可以连接到用户的页面(不需要用户名)。

我也不能要求在客户端浏览器中安装需要 5-10 个步骤的 PKCS#12 样式证书,尤其是在证书安装可能被锁定的情况下。此请求的目标是探索浏览器以无缝方式提供真实双因素身份验证的能力。目前,似乎只有 sun 在谈论 PKCS#11,浏览器对客户端证书的支持很难快速解释。

作为警告,谈论浏览器内部的 PKCS#11 可能是不正确的,或者可能是 PKCS#15 的功能。我怀疑我没有在这里问正确的问题。任何建议,将不胜感激。

4

1 回答 1

1

您可能是指通过浏览器生成密钥对并将最终结果放在某个软件存储中的KEYGEN 标签,因为您想动态生成软件证书。

Keygen 有几个问题和缺点,例如您不能强制执行 PIN/密码策略,因此具有双因素属性,实际上不是一个真正的标准,也不是在任何地方都适用。

PKCS#15 在这里完全不在主题范围内,因为它处理智能卡上隐藏在浏览器/https/crytpoapi 层下方的文件系统格式。

PKCS#11 仅与 Firefox 相关,因为 IE 和 Safari 在内部都使用原生平台证书存储和 API(分别为 CryptoAPI 和 CDSA/Keychain)。

于 2010-02-03T04:38:30.723 回答