Мне интересно изучить все варианты включения многофакторной доменной аутентификации в сети Active Directory. Я не исключаю никаких технологий из этого вопроса, однако я предпочитаю более простые реализации для сложных конфигураций. Считыватели отпечатков пальцев были бы идеальными, поскольку конечный пользователь, как правило, умеет не терять пальцы. Также подойдут небольшие жесткие токены, такие как смарт-карты, токены USB и т. Д.
Лично я бы избегал считывателей отпечатков пальцев, они не так надежны, как вы думаете - на стекле появляются пятна, пользователь режет их и т. Д. Также они могут быть побеждены мармеладный мишка.
Стандартным сейчас, кажется, являются смарт-карты или какой-то токен со случайным числом, причем RSA является самым большим именем. Лично я неравнодушен к токенам, так как могу привязать их к своей цепочке для ключей и не беспокоиться о другой карте. Я бы начал с ЮАР поскольку они являются самым большим именем и с наибольшей вероятностью будут интегрированы во все ваши системы.
Я немного поработал с ActivIdentity 4Tres AAA решение и использование его для удаленного доступа Citrix. Он позволяет использовать обычные брелоки / карты для ввода PIN-кода, этот однокнопочный генератор размером с кредитную карту, а также текстовые сообщения SMPP. Поскольку токены могут быть дорогими, может быть желательно использовать обмен сообщениями SMPP для доставки одноразового пароля на сотовый телефон, зарегистрированный у пользователя Active Directory.
Телефонный фактор. Особенно хорошо работает в среде, где у сотрудников есть сотовые телефоны, ежевика.
Как конечный пользователь я нашел Yubikey (http://www.yubico.com/products/yubikey/) намного проще в использовании, чем RSA SecurID (http://www.rsa.com/node.aspx?id=1156).
Опыт конечных пользователей - не единственное соображение, и, как отмечали другие, существует экосистема продуктов, поддерживающих SecurID. Однако, если взглянуть на охранников через забор ИТ, SecurID никогда не казался особенно простым в управлении.
Что касается компонента «то, что вы есть», действительно кажется, что текущий набор широко доступных считывателей отпечатков пальцев может быть не так надежно реализован, как того требует CSO.
Я также являюсь поклонником токенов типа одноразовых паролей, таких как SecurID RSA, поскольку они в основном довольно просты и, как правило, ими легко управлять в больших масштабах. Традиционный токен брелока обеспечивает хороший уровень аутентификации, который лучше, чем простые старые пароли, но они не могут аутентифицировать оба конца транзакции, и если они не заключены в достойный внешний уровень, который обеспечивает взаимную аутентификацию, общая система не является надежной . Использование таких токенов в любой незащищенной сети без безопасной оболочки - это всего лишь запрос на атаку Man-In-The Middle. Активные токены типа USB \ смарт-карты справляются с этим намного лучше, но их намного сложнее поддерживать - сброс \ повторная выдача \ начальная подготовка - это намного больше работы, но для ситуаций с высокой стоимостью они являются гораздо лучшим решением.