ทางเลือกแทน RSA SecurID? [ปิด]

คุณเคยใช้และจะแนะนำทางเลือกอื่นสำหรับ RSA SecurID สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยหรือไม่

ก่อนหน้านี้ฉันได้ทำงานร่วมกับCRYPTOCardเพื่อทำการตรวจสอบทั้ง Windows และ Linux เมื่อมองไปที่ RSA SecurID ค่าใช้จ่ายโดยรวมในการเป็นเจ้าของซึ่งเป็นปัจจัยสำคัญในการพิจารณา ด้วย CRYPTOCard โทเค็นสามารถจัดการได้โดยผู้ดูแลระบบความปลอดภัยโดยตรงโดยไม่ต้องส่งกลับเหมือน RSA เมื่อแบตเตอรี่หมดผู้ดูแลระบบสามารถเปลี่ยนแบตเตอรี่และทำโทเค็นใหม่อีกครั้ง ด้วย RSA เมื่อแบตเตอรี่หมดคุณจะต้องส่งกลับมาและเปลี่ยนใหม่ซึ่งหมายความว่าต้องมีโทเค็นพิเศษในมือเพื่อให้สามารถเปลี่ยนได้อย่างรวดเร็ว นี่เป็นสถานการณ์เดียวกันกับที่ฉันเคยพบกับโทเค็น Secure Computing Safeword

นี่เป็น บริษัท เริ่มต้นที่ค่อนข้างใหม่ แต่ฉันคิดว่าผลิตภัณฑ์ของพวกเขาเป็นหนึ่งในสิ่งที่น่าสนใจที่สุดสำหรับการอนุมัติ 2 ปัจจัย

http://www.yubico.com/products/yubikey/

• มันมีขนาดเล็กกว่ากุญแจ SecurID
• ไม่มีแบตเตอรี่
• ไม่พึ่งพาผู้ใช้ในการอ่านและพิมพ์ตัวเลขซ้ำ
• ไม่ต้องการไดรเวอร์ใด ๆ ในคอมพิวเตอร์

ในขนาดเล็กกว่านี้คุณสามารถใช้ Google Authenticator

มีโมดูล PAM ที่ค่อนข้างตรงไปตรงมา

http://code.google.com/p/google-authenticator/

ฉันต้องจัดการเครือข่ายที่มีสมาร์ทการ์ดอยู่ พวกเขาเป็นทางเลือกตกลง - โปรดทราบว่าตอนนี้คุณกำลังวางชิ้นส่วนของฮาร์ดแวร์ที่จะล้มเหลวและมีปัญหาไดรเวอร์ที่ทุกเวิร์กสเตชันเดียวในองค์กรของคุณ คุณจะต้องใช้ซอฟต์แวร์ลิขสิทธิ์ที่จะอ่านสมาร์ทการ์ดและเครื่องเพื่อสร้างอัปเดตและแก้ไขสมาร์ทการ์ด มันเป็น PITA ที่แท้จริง ฉันจริงๆหวังว่าองค์กรที่ผมทำงานให้เลือกใช้สำหรับ SecureID แทน ผู้ใช้สามารถสูญเสียสมาร์ทการ์ดได้ง่ายเหมือนเครื่องกำเนิดหมายเลขขนาดพวงกุญแจ

ในระยะสั้น - ฉันจะไม่แนะนำสิ่งอื่นใดสำหรับการตรวจสอบสิทธิ์แบบสองปัจจัย SecureID เป็นของแข็งและใช้งานได้

ตรวจสอบสมาร์ทการ์ด

ผู้ใช้รับรองความถูกต้องกับโฆษณาของ Windows ใช้งานโดย DOD

นี่คือคู่มือการวางแผนของ Microsoft

http://go.microsoft.com/fwlink/?LinkId=41314

หากคุณไม่ต้องการใช้โครงสร้างพื้นฐาน PKI ของคุณเองเราก็ประสบความสำเร็จในระยะยาวกับeTokens ของ Aladdinซึ่งเป็น USB สองปัจจัย

เราได้นำไปใช้ในสถานการณ์ต่าง ๆ มากมาย - เว็บแอปพลิเคชัน, VPN auth, SSH auth, ล็อกอิน AD, รายการรหัสผ่านที่ใช้ร่วมกันและร้านค้ารหัสผ่านเว็บ SSO

เราไปกับ Entrust ราคาถูกกว่า RSA / Vasco ฯลฯ ...

http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm

ผู้ท้าชิงหนึ่ง SecurID: Vasco / Digipass: ข้อความลิงก์

คุณอาจพิจารณาโฮสต์ RSA SecurID จาก บริษัท อย่างSignifyซึ่งเหมาะสำหรับหากคุณต้องการอุปกรณ์เพียงไม่กี่เครื่องสำหรับผู้คน

ขณะนี้เรากำลังประเมินว่าการรับรองความถูกต้อง 2 ปัจจัยผ่าน SMS จะเป็นทางเลือกที่ยอมรับได้สำหรับ SecurID หรือโซลูชั่นการเข้าถึงการ์ดอื่น ๆ เห็นได้ชัดว่าสิ่งนี้ไม่ดีถ้าคุณใช้แอปพลิเคชั่นมือถือ (แอปพลิเคชันทำงานบนอุปกรณ์เดียวกันที่ได้รับข้อความ SMS)

ในกรณีของฉันนี้เป็นเพียงการเข้าถึงระยะไกล / VPN และกำลังมองหาที่Barracuda SSL VPN

คุณอาจต้องการพิจารณาActivIdenty เมื่อฉันดูใน 2FA ฉันชอบวิธีนี้ พวกเขารองรับ SmartCards, USB Tokens, OTP Tokens, DisplayCard Tokens, Soft Tokens เราดูที่นี่สำหรับ Active Directory ฉันไม่แน่ใจว่าระบบปฏิบัติการอื่นใดที่พวกเขาสนับสนุน

หลังจาก 4 ปีของการต่อสู้กับ RSA SecurID เราเปลี่ยนเป็น Gemalto .NET สมาร์ทการ์ด
ทำไมเราไม่ชอบ RSA SecurID:

• ทุกเดือนเรามีปัญหากับผู้ใช้บางคนที่ไม่สามารถเข้าสู่ระบบของเขาได้ ทางออกเดียวคือการเชื่อมต่อกับซอฟต์แวร์เซิร์ฟเวอร์ RSA และพยายามติดตามเหตุผลในการดูบันทึก
• ซอฟต์แวร์เซิร์ฟเวอร์ของพวกเขาใช้งานยากและไม่ได้ใช้งานจริง ๆ เรามีเพียงคนเดียวที่แทบจะไม่มีความรู้ในการใช้งาน
• คุณต้องซื้อโทเค็นใหม่ทุก ๆ สองปีจากนั้นคุณต้องสลับโทเค็นที่ใช้งานอยู่สำหรับผู้ใช้แต่ละคน บางครั้งมันใช้งานได้ คุณไม่เคยรู้.
• คุณต้องติดตั้งซอฟต์แวร์บนตัวควบคุมโดเมนและอย่าลบออกมิฉะนั้นคุณจะไม่สามารถเข้าสู่ DCได้
• คุณต้องติดตั้งหน้าต่างเข้าสู่ระบบของพวกเขาในแต่ละเครื่องในโดเมน
• คุณไม่อนุญาตให้ใช้ทั้งรหัสผ่านและ SecureID สำหรับผู้ใช้ที่ระบุ
• การสนับสนุน / เอกสารประกอบของพวกเขาแย่มาก
• ผู้ใช้แล็ปท็อปไม่สามารถเข้าสู่ระบบที่บ้าน - และไม่มีข้อมูลประจำตัวที่แคชไม่เคยทำงานบนเครื่องของเรา

ทำไมเราเลือก Gemalto .NET

• มันเป็นสมาร์ทการ์ดที่รองรับโดย windows อย่างสมบูรณ์ ไดรเวอร์ทั้งหมดอยู่ใน Windows Update
• คุณไม่จำเป็นต้องซื้อโทเค็นใหม่ทุก ๆ สองสามปีเพียงต่ออายุใบรับรอง
• สามารถตั้งโปรแกรมสำหรับการใช้งานพิเศษหากคุณต้องการสิ่งอื่น (เข้าสู่ระบบอื่น ๆ แล้วง่าย)
• ผู้ใช้สามารถเข้าสู่ระบบโดยใช้รหัสผ่านของพวกเขาหากเซิร์ฟเวอร์ CA ของคุณล้มเหลวด้วยเหตุผลบางอย่าง แต่คุณสามารถบังคับให้พวกเขาใช้สมาร์ทการ์ดหากคุณต้องการ
• สมาร์ทการ์ด API / ซอฟต์แวร์ทั้งหมดเป็นเอกสารที่ค่อนข้างดีโดย Microsoft

ในด้านซอฟต์แวร์ทั้งหมดมี

http://www.wikidsystems.com/

พวกเขามีรุ่นชุมชนฟรี

ฉันมีความสุขของผู้ใช้โทรศัพท์มือถือ OTP แอปพลิเคชัน Java อย่างง่ายสำหรับมือถือของคุณ + โค้ดบางอย่างที่คุณสามารถเรียกใช้ได้จาก bash / php / แทบทุกอย่าง และแม้กระทั่งโมดูลแพม [ซึ่งฉันไม่ได้ใช้]