Estou interessado em explorar todas as opções para ativar a autenticação de domínio de vários fatores em uma rede do Active Directory. Não excluo nenhuma tecnologia dessa questão, mas prefiro implementações mais simples para elaborar configurações. Os leitores de impressão digital seriam ideais, já que o usuário final geralmente está em condições de não perder os dedos. Pequenos tokens difíceis também funcionariam, como cartões inteligentes, tokens USB etc ...
O padrão agora parece ser Smart Cards ou algum tipo de Token com um número aleatório - sendo RSA o maior nome. Pessoalmente, sou parcial para Tokens, pois posso prendê-los ao meu chaveiro e não precisar me preocupar com outro cartão. Gostaria de começar com RSA , já que eles são o maior nome, e seria o mais provável de se integrar em todos os seus sistemas.
Trabalhei um pouco com a solução ActivIdentity 4Tres AAA e usei-a para o acesso remoto da Citrix. Ele permite o uso dos fobs / cartões habituais de entrada de PIN, este gerador de tamanho de cartão de crédito de botão único e também mensagens de texto SMPP. Como os tokens podem ser caros, pode ser desejável usar o sistema SMPP para entregar a senha de uso único ao celular registrado com o usuário do Active Directory.
Fator do telefone . Funciona especialmente bem em ambientes onde os funcionários têm telefones celulares, amoras.
Como usuário final, achei o Yubikey ( link ) muito mais fácil de usar do que o RSA SecurID (< href="http://www.rsa.com/node.aspx?id=1156"> link ).
A experiência do usuário final não é a única consideração e, como outros apontaram, existe um ecossistema de produtos que suporta o SecurID. Olhando por cima da barreira de TI para os seguranças, no entanto, o SecurID nunca pareceu particularmente fácil de gerir.
Quanto ao componente "algo que você é", parece que o conjunto atual de leitores de impressões digitais amplamente disponíveis pode não ser tão implementado com segurança quanto um CSO exigiria.
Também sou fã de tokens de tipo de senha única, como o SecurID da RSA, pois são basicamente bastante simples e geralmente fáceis de gerenciar em grandes escalas. O tradicional token keyfob fornece um bom nível de autenticação que é melhor do que as senhas simples, mas não autentica os dois lados da transação e, a menos que seja envolvida em uma camada externa decente que garanta autenticação mútua, o sistema não é robusto . Usar esses tokens em qualquer rede desprotegida sem um invólucro seguro é apenas pedir um ataque do tipo Man-In-The middle. Os smart cards do tipo USB \ Smart Cards fazem um trabalho muito melhor, mas são muito mais difíceis de suportar - a reconfiguração do provisionamento inicial é muito mais trabalhosa, mas para situações de alto valor eles são uma solução muito melhor.