La connexion par carte à  puce

De plus cette
connexion bloque les attaques dites Cheval de Troie, au cours desquelles les pirates
tentent de s’emparer des mots de passe des utilisateurs dans la mémoire.

Dans Windows 2000 c’est une extension du protocole Kerberos, PKINIT, qui permet
la connexion par carte à  puce. Pendant cette connexion, PKINIT remplace toutes
les occurrences du mot de passe d’un utilisateur par les références de sa clé
publique, stockées par le système sur une carte à  puce. (Pour en savoir plus sur
PKINIT, voir le document de l’IETF à  l’adresse http://search.ietf.org/internet-drafts/draft-ietf-cat-kerberos-pk-init-09txt.

Pour utiliser la connexion par carte à  puce, il faut installer un serveur de certificats
Windows 2000 sur lequel sont chargés les modèles de certificats de connexion par
carte à  puce nécessaires. Les utilisateurs ont besoin d’un lecteur de carte à 
puce et d’une carte à  puce. Windows 2000 supporte actuellement les cartes à  puce
de Gemplus et Schlumberger (qui fournissent tous deux un CSP – Cryptographic Service
Provider – comme plug-in de la CryptoAPI de Microsoft).La mise en oeuvre des cartes
à  puce est simple grâce au support Plug and Play (PnP) de Windows 2000.

De plus, Microsoft permet de définir un agent d’enrôlement pour centraliser et
accélérer le chargement des cartes à  mémoire des utilisateurs d’une entreprise.
Il s’agit d’un compte avec un certificat spécial autorisé à  demander et à  charger
les certificats des autres utilisateurs.