Alternatywy dla RSA SecurID? [Zamknięte]

Czy używałeś i poleciłbyś alternatywę dla RSA SecurID dla uwierzytelniania dwuskładnikowego?

Wcześniej współpracowałem z CRYPTOCard, aby przeprowadzić uwierzytelnianie zarówno w systemie Windows, jak i Linux. Patrząc na to w RSA SecurID, kluczowym czynnikiem do rozważenia był bardziej całkowity koszt posiadania. Dzięki CRYPTOCard tokeny były zarządzane bezpośrednio przez administratora bezpieczeństwa bez konieczności odesłania go jak w przypadku RSA. Po wyczerpaniu baterii administrator może wymienić baterię i przeprogramować token. Z RSA po wyczerpaniu się baterii należy odesłać ją z powrotem i wymienić, co oznaczało konieczność posiadania dodatkowych żetonów pod ręką, aby można je było szybko wymienić. To jest ta sama sytuacja, której doświadczyłem z tokenami Bezpiecznego przetwarzania danych.

Jest to stosunkowo nowa firma startupowa, ale myślę, że jej produkt jest jednym z najciekawszych dostępnych w przypadku autoryzacji 2-czynnikowej.

http://www.yubico.com/products/yubikey/

• Jest mniejszy niż brelok SecurID.
• Nie ma baterii.
• Nie polega na tym, że użytkownik odczytuje i przepisuje numer.
• Nie wymaga żadnych sterowników na komputerach.

Na mniejszą skalę możesz użyć Google Authenticator.

Dostępny jest całkiem prosty moduł PAM.

http://code.google.com/p/google-authenticator/

Muszę zarządzać siecią, w której znajdują się karty inteligentne. Stanowią dobrą alternatywę - pamiętaj jednak, że umieszczasz elementy, które ulegną awarii i będą mieć problemy ze sterownikami na każdej stacji roboczej w organizacji. Będziesz także musiał licencjonować oprogramowanie, które będzie czytać kartę inteligentną i maszynę do tworzenia, aktualizacji i naprawy kart inteligentnych. To prawdziwa PITA. Ja naprawdę życzę organizację pracowałem wybrały SecureID zamiast. Użytkownicy mogą stracić kartę inteligentną tak łatwo, jak generator liczb wielkości łańcucha kluczy.

Krótko mówiąc - nie polecałbym niczego innego do uwierzytelniania dwuskładnikowego. SecureID jest Solid i działa.

Sprawdź karty inteligentne.

Użytkownicy uwierzytelniają się w Windows AD. W użyciu przez DOD

Oto przewodnik planowania Microsoft.

http://go.microsoft.com/fwlink/?LinkId=41314

Jeśli nie masz nic przeciwko prowadzeniu własnej infrastruktury PKI, to odnieśliśmy duży sukces z eTokens firmy Aladdin , które są autoryzacją dwuskładnikową USB.

Wdrożyliśmy je w wielu różnych scenariuszach - aplikacje internetowe, uwierzytelnianie VPN, uwierzytelnianie SSH, logowanie AD, listy wspólnych haseł i przechowywanie haseł w SSO.

Poszliśmy z Entrust, znacznie tańszym niż RSA / Vasco itp ...

http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm

Jeden z pretendentów SecurID: Vasco / Digipass: tekst linku

Możesz również rozważyć hostowane RSA SecurID od firmy takiej jak Signify , dobre, jeśli potrzebujesz tylko kilku urządzeń dla ludzi.

Obecnie oceniamy, czy uwierzytelnianie 2-czynnikowe przez SMS będzie akceptowalną alternatywą dla SecurID lub innych rozwiązań związanych z kartami dostępu. Oczywiście nie jest to dobre, jeśli korzystasz z aplikacji mobilnych (aplikacja działa na tym samym urządzeniu, na którym odbierana jest wiadomość SMS).

W moim przypadku jest to tylko do zdalnego dostępu / VPN i patrzą na Barracuda SSL VPN .

Możesz również rozważyć ActivIdenty Kiedy zajrzałem do 2FA, podobało mi się to rozwiązanie. Obsługują karty SmartCard, tokeny USB, tokeny OTP, tokeny DisplayCard, tokeny miękkie. Sprawdziliśmy to w przypadku usługi Active Directory. Nie jestem pewien żadnego innego obsługiwanego przez nich systemu operacyjnego.

Po 4 latach walki z RSA SecurID przeszliśmy na kartę inteligentną Gemalto .NET.
Dlaczego nie lubimy RSA SecurID:

• co miesiąc mamy problemy z pewnym użytkownikiem, który nie był w stanie zalogować się na swoim komputerze. Jedynym rozwiązaniem było połączenie się z oprogramowaniem serwera RSA i próba śledzenia przyczyny oglądania dzienników.
• Ich oprogramowanie serwerowe jest naprawdę trudne w obsłudze i nieintuicyjne. Mieliśmy tylko jednego faceta, który ledwo wiedział, jak go używać.
• Musisz kupować nowe tokeny co dwa lata, następnie musisz zmienić aktywny token dla każdego użytkownika. Czasami to działa, czasem nie. Nigdy nie wiesz.
• Musisz zainstalować ich oprogramowanie na kontrolerze domeny i lepiej nie usuwaj go, w przeciwnym razie nie będziesz mógł zalogować się do DC .
• Musisz zainstalować ich okno logowania na każdym komputerze w domenie
• Nie można zezwolić na używanie zarówno hasła, jak i SecureID dla konkretnego użytkownika
• Ich wsparcie / dokumentacja jest okropna
• Użytkownicy laptopów nie mogli zalogować się w domu - żadne dane z pamięci podręcznej nigdy nie działały na naszych komputerach

Dlaczego wybraliśmy Gemalto .NET

• jest to karta inteligentna całkowicie obsługiwana przez system Windows. Wszystkie sterowniki są w Windows Update.
• Nie musisz kupować nowych tokenów co kilka lat, wystarczy odnowić certyfikaty.
• Można go zaprogramować do specjalnego użytku, jeśli potrzebujesz czegoś innego (innego niż proste logowanie).
• Użytkownicy mogą zalogować się przy użyciu swoich haseł, jeśli z jakiegoś powodu serwer CA ulegnie awarii, ale możesz zmusić ich do użycia karty inteligentnej, jeśli chcesz.
• Całe API / oprogramowanie karty inteligentnej jest dość dobrze udokumentowane przez Microsoft.

Po stronie całego oprogramowania jest

http://www.wikidsystems.com/

Mają darmowe wydanie społeczności.

Jestem szczęśliwym użytkownikiem mobile-otp . prosta aplikacja Java na Twój telefon komórkowy + kod, który możesz wywołać z bash / php / praktycznie wszystkiego. a nawet moduł pam [którego nie użyłem].