Назад | Перейти на главную страницу

Альтернативы RSA SecurID?

Вы использовали и порекомендовали бы вам альтернативу RSA SecurID для двухфакторной аутентификации?

Это относительно новая стартап-компания, но я думаю, что их продукт - один из самых интересных для двухфакторной авторизации.

http://www.yubico.com/products/yubikey/

  • Он меньше, чем брелок SecurID.
  • Батарейки нет.
  • Не полагается на то, что пользователь прочитает и повторно наберет число.
  • Не требует никаких драйверов на компьютерах.

В меньшем масштабе вы можете использовать Google Authenticator.

Для него доступен довольно простой модуль PAM.

http://code.google.com/p/google-authenticator/

Я ранее работал с CRYPTOCard для выполнения аутентификации как в Windows, так и в Linux. При просмотре через RSA SecurID ключевым фактором для рассмотрения была, скорее, общая стоимость владения. С CRYPTOCard токенами мог управлять администратор безопасности напрямую, без необходимости отправлять их обратно, как с RSA. Когда батарея разрядилась, админ мог заменить батарею и перепрограммировать токен. С RSA, когда батарея разряжается, вам нужно будет отправить ее обратно и заменить, что означает необходимость иметь под рукой дополнительные токены, чтобы их можно было быстро заменить. Это та же ситуация, что я испытал с токенами Safeword для безопасных вычислений.

Мне нужно управлять сетью, в которой установлены смарт-карты. Это хорошая альтернатива - имейте в виду, однако, что сейчас вы размещаете части оборудования, которые откажутся и будут иметь проблемы с драйверами на каждой отдельной рабочей станции в вашей организации. Вам также потребуется лицензировать программное обеспечение, которое будет считывать смарт-карту, и машину для создания, обновления и исправления смарт-карт. Это настоящая PITA. я действительно очень желаю, чтобы организация, в которой я работал, выбрала SecureID. Пользователи могут потерять смарт-карту так же легко, как генератор чисел размером с брелок.

Короче говоря, я бы не рекомендовал ничего другого для двухфакторной аутентификации. SecureID надежен и работает.

Проверьте смарт-карты.

Пользователи проходят аутентификацию в Windows AD. Используется Министерством обороны США

Вот руководство по планированию Microsoft.

http://go.microsoft.com/fwlink/?LinkId=41314

Если вы не против использования собственной инфраструктуры PKI, тогда мы добились хорошего длительного успеха с Электронные токены Аладдина, которые являются двухфакторной аутентификацией USB.

Мы реализовали их в огромном количестве сценариев - веб-приложения, аутентификация VPN, аутентификация SSH, логины AD, общие списки паролей и хранилища паролей единого входа в Интернете.

Мы выбрали Entrust, намного дешевле, чем RSA / Vasco и т. Д.

http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm

Один претендент на SecurID: Vasco / Digipass: текст ссылки

Вы также можете рассмотреть возможность размещения RSA SecurID от такой компании, как Означать, подходит, если вам нужно всего несколько устройств для людей.

В настоящее время мы оцениваем, будет ли двухфакторная аутентификация по SMS приемлемой альтернативой SecurID или другим решениям, связанным с картами доступа. Очевидно, что это бесполезно, если вы используете мобильные приложения (приложение работает на том же устройстве, на котором получено SMS-сообщение).

В моем случае это только для удаленного доступа / VPN и ищу Barracuda SSL VPN.

Вы можете также рассмотреть ActivIdenty Когда я заглянул в 2FA, мне понравилось это решение. Они поддерживают смарт-карты, USB-токены, OTP-токены, токены DisplayCard, программные токены. Мы рассмотрели это для Active Directory. Я не уверен, какая другая ОС они поддерживают.

После 4 лет борьбы с RSA SecurID мы перешли на смарт-карту Gemalto .NET.
Почему нам не нравится RSA SecurID:

  • Каждый месяц у нас возникают проблемы с пользователем, который не может войти в систему на своей машине. Единственным решением было подключиться к программному обеспечению сервера RSA и попытаться отследить причину просмотра журналов.
  • Их серверное программное обеспечение действительно сложно в использовании и не интуитивно понятно. У нас был только один парень, который едва знал, как им пользоваться.
  • Вы должны покупать новые токены каждые два года. Затем вы должны переключать активный токен для каждого пользователя. Иногда это работает, иногда нет. Никогда не знаешь.
  • Вы должны установить их программное обеспечение на контроллере домена, и лучше не удаляйте его, иначе вы не сможет войти в DC.
  • Вы должны установить их окно входа в систему на каждом компьютере в домене.
  • Вы не можете разрешить использование пароля и SecureID для конкретного пользователя
  • Их поддержка / документация ужасна
  • Пользователи ноутбуков не могли войти в систему дома - и никакие кешированные учетные данные никогда не работали на наших машинах

Почему мы выбрали Gemalto .NET

  • это смарт-карта, которая полностью поддерживается Windows. Все драйверы находятся в Центре обновления Windows.
  • Не нужно покупать новые токены каждые несколько лет, достаточно продлить сертификаты.
  • Его можно запрограммировать для специального использования, если вам нужно что-то еще (кроме простого входа в систему).
  • Пользователи могут входить в систему, используя свои пароли, если ваш сервер CA по какой-то причине выходит из строя, но вы можете заставить их использовать смарт-карту, если хотите.
  • Все программные интерфейсы и API смарт-карт довольно хорошо документированы Microsoft.

Со стороны всего программного обеспечения есть

http://www.wikidsystems.com/

У них есть бесплатная версия для сообщества.

я счастливый пользователь мобил-ОТП. простое java-приложение для вашего мобильного телефона + код, который вы можете вызывать из bash / php / практически из чего угодно. и даже модуль pam [который я не использовал].