Альтернативы RSA SecurID? [закрыто]

16

Использовали ли вы и порекомендуете альтернативу RSA SecurID для двухфакторной аутентификации?

Toto
источник
Я был бы признателен, если бы ответы содержали ОС, на которой было реализовано решение
serverhorror
Чтобы помочь нам предоставить вам лучшие ответы, вы можете рассказать, какие у вас проблемы с решением RSA? Это цена? Характеристики? Модель безопасности?
Ричард Вест
Основная проблема: мне не нравится выбирать продукт без рассмотрения альтернатив.
Тото
Рекомендации по продуктам и услугам, включая разведку альтернатив, не соответствуют теме обновленного часто задаваемого вопроса .
sysadmin1138

Ответы:

5

Ранее я работал с CRYPTOCard для выполнения аутентификации как Windows, так и Linux. Если посмотреть на RSA SecurID, это было больше общей стоимости владения, которая была ключевым фактором для рассмотрения. С CRYPTOCard токены управлялись администратором безопасности напрямую, без необходимости отправлять их обратно, как с RSA. Когда батарея разрядилась, администратор мог заменить батарею и перепрограммировать токен. С RSA, когда батарея разрядилась, вам пришлось бы отправить ее обратно и заменить, что означало необходимость иметь дополнительные жетоны под рукой, чтобы их можно было быстро заменить. Это та же самая ситуация, с которой я столкнулся при использовании токенов Secure Computing Safeword.

Джереми Бауз
источник
16

Это относительно новая стартап-компания, но я думаю, что ее продукт является одним из самых интересных для двухфакторной авторизации.

http://www.yubico.com/products/yubikey/

  • Это меньше, чем брелок SecurID.
  • Не имеет батарей.
  • Не полагается на пользователя, чтобы прочитать и перепечатать номер.
  • Не требует никаких драйверов на компьютерах.
3dinfluence
источник
+1! Работает как шарм, интегрируется с openid
MatthieuP
Менее удобно по сетевому соединению.
Александр Кармель-Вейль
+1 за решение, не требующее драйверов на локальном компьютере :)
GNUix
5

В меньшем масштабе вы можете использовать Google Authenticator.

Для этого есть довольно простой модуль PAM.

http://code.google.com/p/google-authenticator/

Крис Травик
источник
+1 за это мы его используем. Приложения для смартфонов в магазине iOS и Android.
ceejayoz
3

Я должен управлять сетью, в которой установлены смарт-карты. Они - хорошая альтернатива. Имейте в виду, однако, что сейчас вы размещаете аппаратные средства, которые могут выйти из строя и имеют проблемы с драйверами на каждой рабочей станции в вашей организации. Вам также придется лицензировать программное обеспечение, которое будет считывать смарт-карту, и компьютер для создания, обновления и исправления смарт-карт. Это настоящая пита. Я действительно очень хочу, чтобы организация, в которой я работал, выбрала SecureID. Пользователи могут потерять смарт-карту так же просто, как генератор чисел размером с брелок.

Короче говоря - я бы не рекомендовал ничего другого для двухфакторной аутентификации. SecureID Solid, и это работает.

GNUix
источник
2

Проверьте смарт-карты.

Пользователи проходят аутентификацию в Windows AD. Используется DOD

Вот руководство по планированию Microsoft.

http://go.microsoft.com/fwlink/?LinkId=41314

MathewC
источник
2

Если вы не против использования собственной инфраструктуры PKI, у нас был хороший долгосрочный успех с электронными токенами Aladdin , которые являются двухфакторной аутентификацией USB.

Мы реализовали их в широком спектре сценариев - веб-приложения, аутентификация VPN, аутентификация SSH, логины AD, общие списки паролей и хранилища паролей SSO.

Дэн Карли
источник
1

Вы также можете подумать о размещении RSA SecurID от такой компании, как Signify , которая подойдет вам , если вам нужны только несколько устройств для людей.

SteveBurkett
источник
1

В настоящее время мы оцениваем, будет ли двухфакторная аутентификация по SMS приемлемой альтернативой SecurID или другим решениям, связанным с картами доступа. Очевидно, что это плохо, если вы используете мобильные приложения (приложение работает на том же устройстве, на которое получено SMS-сообщение).

В моем случае, это только для удаленного доступа / VPN и смотрите Barracuda SSL VPN .

Дуг Люксем
источник
1

Возможно, вы захотите рассмотреть ActivIdenty. Когда я посмотрел на 2FA, мне понравилось это решение. Они поддерживают смарт-карты, USB-токены, OTP-токены, DisplayCard токены, программные токены. Мы смотрели на это для Active Directory. Я не уверен ни в какой другой ОС, которую они поддерживают.

Кевин Гарбер
источник
1

После 4 лет борьбы с RSA SecurID мы перешли на смарт-карту Gemalto .NET.
Почему нам не нравится RSA SecurID:

  • каждый месяц у нас возникают проблемы с каким-то пользователем, который не может войти на свою машину. Единственным решением было подключиться к программному обеспечению сервера RSA и попытаться отследить причину просмотра журналов.
  • Их серверное программное обеспечение действительно сложно в использовании и не интуитивно понятно. У нас был только один парень, который едва знал, как его использовать.
  • Вы должны покупать новые токены каждые два года, затем вы должны переключать активный токен для каждого пользователя. Иногда это работает, иногда нет. Ты никогда не узнаешь.
  • Вы должны установить свое программное обеспечение на контроллере домена, и лучше не удалить его , или вы не сможете вход в DC .
  • Вы должны установить их окно входа в систему на каждой машине в домене
  • Вы не можете разрешить использовать как пароль, так и SecureID для конкретного пользователя
  • Их поддержка / документация просто потрясающая
  • Пользователи ноутбуков не могли войти в систему дома - и никакие кэшированные учетные данные никогда не работали на наших машинах

Почему мы выбрали Gemalto .NET

  • Это смарт-карта, которая полностью поддерживается Windows. Все драйверы находятся в Центре обновления Windows.
  • Вам не нужно покупать новые токены каждые несколько лет, просто обновите сертификаты.
  • Он может быть запрограммирован для специального использования, если вам нужно что-то еще (кроме простого входа в систему).
  • Пользователи могут войти в систему, используя свои пароли, если по какой-либо причине ваш сервер CA выходит из строя, но вы можете заставить их использовать смарт-карту, если хотите.
  • Все API смарт-карт / программное обеспечение довольно хорошо задокументировано Microsoft.
SeeR
источник
1

На стороне всего программного обеспечения есть

http://www.wikidsystems.com/

У них есть бесплатная версия сообщества.

Майк
источник
0

я счастливый пользователь mobile-otp . простое Java-приложение для вашего мобильного телефона + некоторый код, который вы можете вызвать из bash / php / практически что угодно. и даже модуль PAM [который я не использовал].

PQD
источник