Альтернативи RSA SecurID? [зачинено]

Ви використовували та рекомендували б альтернативу RSA SecurID для двофакторної аутентифікації?

Раніше я працював з CRYPTOCard, щоб виконати автентифікацію Windows та Linux. Якщо дивитися на це через RSA SecurID, то головним фактором для розгляду була загальна вартість власності. За допомогою CRYPTOCard маркерами керував адміністратор безпеки безпосередньо, не надсилаючи їх назад, як у RSA. Коли батарея померла, адміністратор міг змінити батарею та перепрограмувати маркер. З RSA, коли батарея загинула, вам доведеться відправити її назад і замінити її, що означало наявність додаткових жетонів під рукою, щоб їх можна було швидко замінити. Це та сама ситуація, що я переживала із символами Safeword Computing Safeword.

Це відносно нова компанія-стартап, але я думаю, що їхній продукт є одним з найцікавіших там, на два факторні авторизації.

http://www.yubico.com/products/yubikey/

• Він менший, ніж клавіша SecurID.
• Не має батарей.
• Не покладається на те, щоб користувач читав і повторно вводив номер.
• Не потрібні драйвери на комп’ютерах.

У меншому масштабі ви можете використовувати Google Authenticator.

Для цього доступний досить простий модуль PAM.

http://code.google.com/p/google-authenticator/

Мені потрібно керувати мережею, де є смарт-картки. Вони є гарною альтернативою. Однак пам’ятайте, що зараз ви розміщуєте обладнання, яке вийде з ладу і матиме проблеми з драйверами на кожній робочій станції вашої організації. Вам також доведеться ліцензувати програмне забезпечення, яке буде читати смарт-карту та машину для створення, оновлення та виправлення смарт-карт. Це справжній ПДФА. Я дуже, дуже хочу, щоб організація, в якій я працював, обрала натомість SecureID. Користувачі можуть втратити смарт-карту так само просто, як і генератор чисел за розміром брелока.

Якщо коротко - я б не рекомендував нічого іншого для двофакторної аутентифікації. SecureID - твердий, і він працює.

Ознайомтеся з смарт-картками.

Користувачі мають автентифікацію на Windows AD. У користуванні DOD

Ось посібник з планування Microsoft.

http://go.microsoft.com/fwlink/?LinkId=41314

Якщо ви не заважаєте запускати власну інфраструктуру PKI, ми мали добрий багаторічний успіх з eTokens Aladdin , який є двофакторним авторизацією через USB.

Ми реалізували їх у величезному діапазоні сценаріїв - веб-додатки, VPN auth, SSH auth, входи в AD, спільні списки паролів та веб-магазини паролів SSO.

Ми поїхали з Entrust, набагато дешевше, ніж RSA / Vasco тощо.

http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm

Один виклик SecurID: Vasco / Digipass: текст посилання

Ви також можете розглянути можливість розміщення RSA SecurID від такої компанії, як Signify , що добре, якщо ви хочете лише кілька пристроїв для людей.

Наразі ми оцінюємо, чи буде двофакторна автентифікація через SMS буде прийнятною альтернативою SecurID або іншим рішенням, пов’язаним із карткою доступу. Очевидно, що це не добре, якщо ви користуєтеся мобільними додатками (програма працює на тому ж пристрої, що надходить SMS-повідомлення).

У моєму випадку це лише для віддаленого доступу / VPN, і вони дивляться на VPN Barracuda SSL .

Ви можете також розглянути ActivIdenty Коли я заглянув у 2FA, мені сподобалось це рішення. Вони підтримують смарт-карти, USB-токени, OTP-маркери, ток-вітрини-картки, м'які жетони. Ми розглянули це для Active Directory. Я не впевнений у будь-якій іншій ОС, яку вони підтримують.

Після 4 років боротьби з RSA SecurID ми перейшли на смарт-карту Gemalto .NET.
Чому нам не подобається RSA SecurID:

• щомісяця у нас виникають проблеми з користувачем, який не зміг увійти в систему на своїй машині. Єдиним рішенням було підключення до серверного програмного забезпечення RSA та спробувати відстежити причину перегляду журналів.
• Їх серверне програмне забезпечення дійсно важке у використанні та не інтуїтивно. У нас був лише один хлопець, який ледве мав знання, як ним користуватися.
• Ви повинні купувати нові жетони кожні два роки. Потім ви повинні переключити активний маркер для кожного користувача. Іноді це працює, іноді ні. Ти ніколи не дізнаєшся.
• Ви повинні встановити їх програмне забезпечення на контролері домену, а краще не видаляти його, або ви не зможете ввійти в DC .
• Ви повинні встановити їхнє вікно для входу на кожну машину домену
• Ви не можете дозволити використовувати як пароль, так і SecureID для конкретного користувача
• Їх підтримка / документація є повною
• Користувачі ноутбуків не змогли ввійти вдома - і жоден кешований обліковий запис ніколи не працював на наших машинах

Чому ми обрали Gemalto .NET

• це смарт-карта, яка повністю підтримується Windows. Усі драйвери перебувають у Windows Update.
• Вам не потрібно купувати нові жетони кожні кілька років, просто поновіть сертифікати.
• Він може бути запрограмований для спеціального використання, якщо вам потрібно щось інше (крім простого входу в систему).
• Користувачі можуть увійти за допомогою своїх паролів, якщо сервер CA з якоїсь причини не працює, але ви можете змусити їх використовувати смарт-карту, якщо хочете.
• Весь інтерфейс API / програмного забезпечення для смарт-карт досить добре документований Microsoft.

З боку всього програмного забезпечення є

http://www.wikidsystems.com/

Вони мають безкоштовне суспільне видання.

Я щасливий користувач mobile-otp . простий java-додаток для вашого мобільного + якийсь код, на який ви можете запустити з bash / php / практично будь-що. і навіть пам модуль [який я не використовував].