Alternative a RSA SecurID? [chiuso]

Hai usato e consiglieresti un'alternativa a RSA SecurID per l'autenticazione a due fattori?

In precedenza ho lavorato con CRYPTOCard per eseguire sia l'autenticazione Windows che Linux. Quando lo si guarda su RSA SecurID, è stato più il costo totale di proprietà che è stato un fattore chiave da considerare. Con CRYPTOCard i token erano gestibili direttamente dall'amministratore della sicurezza senza doverlo rispedire come con RSA. Quando la batteria è scarica, l'amministratore può cambiare la batteria e riprogrammare il token. Con RSA quando la batteria è scarica dovresti rispedirla e sostituirla, il che significa che devi avere token extra a portata di mano in modo che possano essere rapidamente sostituiti. Questa è la stessa situazione che ho riscontrato con i token Safeword di Secure Computing.

Questa è una società di startup relativamente nuova, ma penso che il loro prodotto sia uno dei più interessanti là fuori per l'autorizzazione a 2 fattori.

http://www.yubico.com/products/yubikey/

• È più piccolo del portachiavi SecurID.
• Non ha batterie.
• Non fa affidamento su un utente per leggere e digitare nuovamente un numero.
• Non richiede alcun driver sui computer.

Su scala ridotta puoi utilizzare Google Authenticator.

È disponibile un modulo PAM piuttosto semplice.

http://code.google.com/p/google-authenticator/

Devo gestire una rete in cui sono presenti smart card. Sono un'alternativa OK: tieni presente, tuttavia, che ora stai posizionando pezzi di hardware che non funzioneranno e che avranno problemi di driver in ogni singola workstation dell'organizzazione. Dovrai anche ottenere la licenza del software che leggerà la smartcard e una macchina per creare, aggiornare e correggere le smart card. È una vera PITA. Spero davvero che l'organizzazione per cui ho lavorato abbia optato per SecureID. Gli utenti possono perdere una smart card tanto facile quanto un generatore di numeri delle dimensioni di una catena chiave.

In breve, non consiglierei nient'altro per l'autenticazione a due fattori. SecureID è solido e funziona.

Dai un'occhiata alle smart card.

Gli utenti eseguono l'autenticazione in Windows AD. In uso dal DOD

Ecco una guida alla pianificazione di Microsoft.

http://go.microsoft.com/fwlink/?LinkId=41314

Se non sei contrario all'esecuzione della tua infrastruttura PKI, abbiamo avuto un buon successo a lungo termine con gli eTokens di Aladdin , che sono autenticazione USB a due fattori.

Li abbiamo implementati in una vasta gamma di scenari: applicazioni Web, autenticazione VPN, autenticazione SSH, accessi AD, elenchi di password condivise e archivi di password SSO Web.

Siamo andati con Entrust, molto più economico di RSA / Vasco ecc ...

http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm

Uno sfidante SecurID: Vasco / Digipass: testo del link

Potresti anche considerare RSA SecurID ospitato da un'azienda come Signify , utile se desideri solo pochi dispositivi per le persone.

Stiamo attualmente valutando se l'autenticazione a 2 fattori tramite SMS sarà un'alternativa accettabile a SecurID o ad altre soluzioni relative alle carte di accesso. Ovviamente questo non va bene se si utilizzano applicazioni mobili (l'applicazione è in esecuzione sullo stesso dispositivo in cui viene ricevuto il messaggio SMS).

Nel mio caso, questo è solo per l'accesso remoto / VPN e stanno guardando Barracuda SSL VPN .

Potresti anche voler considerare ActivIdenty Quando ho cercato 2FA, mi è piaciuta questa soluzione. Supportano SmartCard, token USB, token OTP, token DisplayCard, token soft. Abbiamo esaminato questo per Active Directory. Non sono sicuro di qualsiasi altro sistema operativo che supportano.

Dopo 4 anni di combattimenti con RSA SecurID siamo passati alla smart card Gemalto .NET.
Perché non ci piace RSA SecurID:

• ogni mese abbiamo dei problemi con alcuni utenti che non sono stati in grado di accedere al suo computer. L'unica soluzione era quella di connettersi al software del server RSA e provare a rintracciare il motivo della visione dei registri.
• Il loro software server è davvero difficile da usare e non intuitivo. Avevamo solo un ragazzo che sapeva a malapena come usarlo.
• È necessario acquistare nuovi token ogni due anni, quindi è necessario cambiare il token attivo per ciascun utente. A volte funziona, a volte no. Non si sa mai.
• È necessario installare il proprio software sul controller di dominio e, meglio, non rimuoverlo o non sarà possibile accedere a DC .
• È necessario installare la relativa finestra di accesso su ogni macchina nel dominio
• Non è possibile consentire l'uso di password e SecureID per utenti specifici
• Il loro supporto / documentazione è terribile
• Gli utenti di laptop non sono stati in grado di accedere a casa e nessuna credenziale memorizzata nella cache non ha mai funzionato sui nostri computer

Perché abbiamo scelto Gemalto .NET

• è una smart card che è completamente supportata da Windows. Tutti i driver sono su Windows Update.
• Non è necessario acquistare nuovi token ogni pochi anni, basta rinnovare i certificati.
• Può essere programmato per un uso speciale se è necessario qualcos'altro (diverso dall'accesso semplice).
• Gli utenti possono accedere utilizzando le loro password se il server CA non riesce per qualche motivo, ma è possibile forzarli a utilizzare la smart card se lo si desidera.
• Tutte le API / software per smart card sono piuttosto ben documentate da Microsoft.

Sul lato tutto il software c'è

http://www.wikidsystems.com/

Hanno un'edizione comunitaria gratuita.

sono felice utente di mobile-otp . semplice applicazione java per il tuo cellulare + un po 'di codice che puoi invocare da bash / php / praticamente qualsiasi cosa. e persino il modulo pam [che non ho usato].