Alternativas para o RSA SecurID? [fechadas]

Já trabalhei anteriormente com CRYPTOCard para executar a autenticação do Windows e do Linux. Ao analisar o RSA SecurID, foi mais o custo total de propriedade que foi um fator importante a ser considerado. Com o CRYPTOCard, os tokens eram gerenciáveis pelo administrador de segurança diretamente, sem ter que enviá-lo de volta, como acontece com o RSA. Quando a bateria morreu, o administrador pode trocar a bateria e reprogramar o token. Com o RSA quando a bateria morreu, você teria que enviá-lo de volta e substituí-lo, o que significava ter fichas extras na mão para que pudessem ser rapidamente substituídas. Esta é a mesma situação que experimentei com tokens Secure Computing Safeword.

Esta é uma empresa iniciante relativamente nova, mas acho que o produto deles é um dos mais interessantes para a autorização de dois fatores.

link

• É menor que o chaveiro SecurID.
• Não tem baterias.
• Não depende de um usuário para ler e redigitar um número.
• Não requer nenhum driver nos computadores.

Em uma escala menor, você pode usar o Google Authenticator.

Existe um módulo PAM bastante simples disponível para ele.

link

Eu tenho que gerenciar uma rede onde os cartões inteligentes estão no lugar. Eles são uma alternativa OK - Tenha em mente, no entanto, que agora você está colocando peças de hardware que falharão e terão problemas de driver em todas as estações de trabalho da sua organização. Você também terá que licenciar o software que lerá o cartão inteligente e uma máquina para criar, atualizar e corrigir os cartões inteligentes. É um verdadeiro PITA. Eu realmente queria que a organização em que trabalhei optasse pelo SecureID. Os usuários podem perder um cartão inteligente tão facilmente quanto um gerador de números com tamanho de chaveiro.

Em resumo - eu não recomendaria mais nada para autenticação de dois fatores. O SecureID é sólido e funciona.

Confira os cartões inteligentes.

Os usuários são autenticados no Windows AD. Em uso pelo DOD

Aqui está um guia de planejamento da Microsoft.

link

Se você não for contrária à execução de sua própria infraestrutura de PKI, teremos um bom sucesso de longa data com o Aladdin's eTokens , que são autenticação de dois fatores USB.

Nós os implementamos em uma grande variedade de cenários - aplicativos da Web, VPN auth, SSH auth, logins do AD, listas de senha compartilhada e repositórios de senhas do SSO da web.

Nós fomos com o Entrust, muito mais barato que o RSA / Vasco etc ...

link

Um desafiante SecurID: Vasco / Digipass: link text

Você também pode considerar o RSA SecurID hospedado de uma empresa como Significar , bom se você está querendo apenas alguns dispositivos para pessoas .

No momento, estamos avaliando se a autenticação de 2 fatores sobre o SMS será uma alternativa aceitável ao SecurID ou a outras soluções relacionadas ao cartão de acesso. Obviamente, isso não é bom se você estiver usando aplicativos móveis (o aplicativo está sendo executado no mesmo dispositivo em que a mensagem SMS é recebida).

No meu caso, isso é apenas para acesso remoto / VPN e estou olhando para o Barracuda SSL VPN .

Você também pode querer considerar ActivIdenty Quando eu olhei para o 2FA, gostei dessa solução. Eles suportam SmartCards, Tokens USB, Tokens OTP, Tokens DisplayCard, Soft Tokens. Analisamos isso para o Active Directory. Não tenho certeza de nenhum outro SO que eles suportem.

Após 4 anos de luta com o RSA SecurID, mudamos para o cartão inteligente Gemalto .NET.
Por que não gostamos do RSA SecurID:

• todos os meses, temos alguns problemas com algum usuário que não conseguiu fazer logon em sua máquina. A única solução era conectar-se ao software do servidor RSA e tentar rastrear o motivo do monitoramento dos registros.
• O software do servidor deles é realmente difícil de usar e não é intuitivo. Nós tínhamos apenas um cara que mal sabia como usá-lo.
• Você deve comprar novos tokens a cada dois anos. Depois, você deve alternar o token ativo para cada usuário. Às vezes funciona, às vezes não. Você nunca sabe.
• Você deve instalar o software deles no Controlador de domínio e é melhor não removê-lo ou você não será capaz de fazer logon no DC .
• Você deve instalar sua janela de logon em cada máquina no domínio
• Você não pode permitir usar a senha e o SecureID para usuário específico
• Seu suporte / documentação é horrível
• Usuários de laptops não conseguiram fazer logon em casa - e nenhuma credencial em cache nunca funcionou em nossas máquinas

Por que escolhemos o Gemalto .NET?

• é um cartão inteligente que é totalmente suportado pelo Windows. Todos os drivers estão no Windows Update.
• Você não precisa comprar novos tokens a cada poucos anos, apenas renove certificados.
• Pode ser programado para uso especial se você precisar de algo diferente (outro que seja simples logon).
• Os usuários podem fazer login usando suas senhas se o servidor da CA falhar por algum motivo, mas você poderá forçá-los a usar o cartão inteligente, se quiser.
• Toda a API / software de smart card é bem documentada pela Microsoft.

No lado do software todo existe

link

Eles têm uma edição comunitária gratuita.

Estou feliz com o mobile-otp . aplicação java simples para o seu celular + algum código que você pode invocar do bash / php / praticamente qualquer coisa. e até o módulo pam [que eu não usei].