Альтернативы RSA SecurID? [закрыто]

Использовали ли вы и порекомендуете альтернативу RSA SecurID для двухфакторной аутентификации?

Ранее я работал с CRYPTOCard для выполнения аутентификации как Windows, так и Linux. Если посмотреть на RSA SecurID, это было больше общей стоимости владения, которая была ключевым фактором для рассмотрения. С CRYPTOCard токены управлялись администратором безопасности напрямую, без необходимости отправлять их обратно, как с RSA. Когда батарея разрядилась, администратор мог заменить батарею и перепрограммировать токен. С RSA, когда батарея разрядилась, вам пришлось бы отправить ее обратно и заменить, что означало необходимость иметь дополнительные жетоны под рукой, чтобы их можно было быстро заменить. Это та же самая ситуация, с которой я столкнулся при использовании токенов Secure Computing Safeword.

Это относительно новая стартап-компания, но я думаю, что ее продукт является одним из самых интересных для двухфакторной авторизации.

http://www.yubico.com/products/yubikey/

• Это меньше, чем брелок SecurID.
• Не имеет батарей.
• Не полагается на пользователя, чтобы прочитать и перепечатать номер.
• Не требует никаких драйверов на компьютерах.

В меньшем масштабе вы можете использовать Google Authenticator.

Для этого есть довольно простой модуль PAM.

http://code.google.com/p/google-authenticator/

Я должен управлять сетью, в которой установлены смарт-карты. Они - хорошая альтернатива. Имейте в виду, однако, что сейчас вы размещаете аппаратные средства, которые могут выйти из строя и имеют проблемы с драйверами на каждой рабочей станции в вашей организации. Вам также придется лицензировать программное обеспечение, которое будет считывать смарт-карту, и компьютер для создания, обновления и исправления смарт-карт. Это настоящая пита. Я действительно очень хочу, чтобы организация, в которой я работал, выбрала SecureID. Пользователи могут потерять смарт-карту так же просто, как генератор чисел размером с брелок.

Короче говоря - я бы не рекомендовал ничего другого для двухфакторной аутентификации. SecureID Solid, и это работает.

Проверьте смарт-карты.

Пользователи проходят аутентификацию в Windows AD. Используется DOD

Вот руководство по планированию Microsoft.

http://go.microsoft.com/fwlink/?LinkId=41314

Если вы не против использования собственной инфраструктуры PKI, у нас был хороший долгосрочный успех с электронными токенами Aladdin , которые являются двухфакторной аутентификацией USB.

Мы реализовали их в широком спектре сценариев - веб-приложения, аутентификация VPN, аутентификация SSH, логины AD, общие списки паролей и хранилища паролей SSO.

Мы пошли с Entrust, намного дешевле, чем RSA / Vasco и т.д ...

http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm

Один претендент SecurID: Vasco / Digipass: текст ссылки

Вы также можете подумать о размещении RSA SecurID от такой компании, как Signify , которая подойдет вам , если вам нужны только несколько устройств для людей.

В настоящее время мы оцениваем, будет ли двухфакторная аутентификация по SMS приемлемой альтернативой SecurID или другим решениям, связанным с картами доступа. Очевидно, что это плохо, если вы используете мобильные приложения (приложение работает на том же устройстве, на которое получено SMS-сообщение).

В моем случае, это только для удаленного доступа / VPN и смотрите Barracuda SSL VPN .

Возможно, вы захотите рассмотреть ActivIdenty. Когда я посмотрел на 2FA, мне понравилось это решение. Они поддерживают смарт-карты, USB-токены, OTP-токены, DisplayCard токены, программные токены. Мы смотрели на это для Active Directory. Я не уверен ни в какой другой ОС, которую они поддерживают.

После 4 лет борьбы с RSA SecurID мы перешли на смарт-карту Gemalto .NET.
Почему нам не нравится RSA SecurID:

• каждый месяц у нас возникают проблемы с каким-то пользователем, который не может войти на свою машину. Единственным решением было подключиться к программному обеспечению сервера RSA и попытаться отследить причину просмотра журналов.
• Их серверное программное обеспечение действительно сложно в использовании и не интуитивно понятно. У нас был только один парень, который едва знал, как его использовать.
• Вы должны покупать новые токены каждые два года, затем вы должны переключать активный токен для каждого пользователя. Иногда это работает, иногда нет. Ты никогда не узнаешь.
• Вы должны установить свое программное обеспечение на контроллере домена, и лучше не удалить его , или вы не сможете вход в DC .
• Вы должны установить их окно входа в систему на каждой машине в домене
• Вы не можете разрешить использовать как пароль, так и SecureID для конкретного пользователя
• Их поддержка / документация просто потрясающая
• Пользователи ноутбуков не могли войти в систему дома - и никакие кэшированные учетные данные никогда не работали на наших машинах

Почему мы выбрали Gemalto .NET

• Это смарт-карта, которая полностью поддерживается Windows. Все драйверы находятся в Центре обновления Windows.
• Вам не нужно покупать новые токены каждые несколько лет, просто обновите сертификаты.
• Он может быть запрограммирован для специального использования, если вам нужно что-то еще (кроме простого входа в систему).
• Пользователи могут войти в систему, используя свои пароли, если по какой-либо причине ваш сервер CA выходит из строя, но вы можете заставить их использовать смарт-карту, если хотите.
• Все API смарт-карт / программное обеспечение довольно хорошо задокументировано Microsoft.

На стороне всего программного обеспечения есть

http://www.wikidsystems.com/

У них есть бесплатная версия сообщества.

я счастливый пользователь mobile-otp . простое Java-приложение для вашего мобильного телефона + некоторый код, который вы можете вызвать из bash / php / практически что угодно. и даже модуль PAM [который я не использовал].