Alternativas ao RSA SecurID? [fechadas]

Você já usou e recomendaria uma alternativa ao RSA SecurID para autenticação de dois fatores?

Eu trabalhei anteriormente com o CRYPTOCard para executar a autenticação do Windows e do Linux. Ao analisá-lo pelo RSA SecurID, foi mais o custo total de propriedade que foi um fator-chave a ser considerado. Com o CRYPTOCard, os tokens eram gerenciados diretamente pelo administrador de segurança, sem a necessidade de enviá-los de volta, como na RSA. Quando a bateria acabar, o administrador poderá trocar a bateria e reprogramar o token. Com o RSA, quando a bateria descarregava, era necessário enviá-lo de volta e substituí-lo, o que significava ter que ter fichas extras à mão para que pudessem ser substituídas rapidamente. Essa é a mesma situação que experimentei com os tokens da Secure Computing Safeword.

Esta é uma empresa iniciante relativamente nova, mas acho que o produto deles é um dos mais interessantes para autorização de dois fatores.

http://www.yubico.com/products/yubikey/

• É menor que o chaveiro SecurID.
• Não possui pilhas.
• Não depende de um usuário para ler e redigitar um número.
• Não requer drivers nos computadores.

Em uma escala menor, você pode usar o Google Authenticator.

Existe um módulo PAM bastante simples disponível para ele.

http://code.google.com/p/google-authenticator/

Eu tenho que gerenciar uma rede onde os cartões inteligentes estão no lugar. Elas são uma boa alternativa - lembre-se, no entanto, de que você está colocando peças de hardware que falharão e terão problemas de driver em todas as estações de trabalho da sua organização. Você também precisará licenciar software que leia o cartão inteligente e uma máquina para criar, atualizar e corrigir os cartões inteligentes. É uma verdadeira PITA. Eu realmente desejo que a organização em que trabalhei optou pelo SecureID. Os usuários podem perder um cartão inteligente com a mesma facilidade que um gerador de números do tamanho de um chaveiro.

Em resumo - eu não recomendaria mais nada para autenticação de dois fatores. SecureID é sólido e funciona.

Confira cartões inteligentes.

Os usuários se autenticam no Windows AD. Em uso pelo DOD

Aqui está um guia de planejamento da Microsoft.

http://go.microsoft.com/fwlink/?LinkId=41314

Se você não é adverso em executar sua própria infraestrutura de PKI, obtivemos um bom sucesso a longo prazo com os eTokens da Aladdin , que são autenticação de dois fatores por USB.

Nós os implementamos em uma grande variedade de cenários - aplicativos da web, autenticação VPN, autenticação SSH, logins AD, listas de senhas compartilhadas e armazenamentos de senhas SSO da web.

Nós fomos com Entrust, muito mais barato que RSA / Vasco etc ...

http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm

Um desafiante do SecurID: Vasco / Digipass: link text

Você também pode considerar o RSA SecurID hospedado de uma empresa como a Signify , bom para quem deseja apenas alguns dispositivos para as pessoas.

Atualmente, estamos avaliando se a autenticação de dois fatores por SMS será uma alternativa aceitável ao SecurID ou a outras soluções relacionadas a cartões de acesso. Obviamente, isso não é bom se você estiver usando aplicativos móveis (o aplicativo está sendo executado no mesmo dispositivo em que a mensagem SMS é recebida).

No meu caso, isso é apenas para acesso remoto / VPN e está olhando para o Barracuda SSL VPN .

Você também pode considerar o ActivIdenty. Quando consultei o 2FA, gostei desta solução. Eles suportam cartões inteligentes, tokens USB, tokens OTP, tokens DisplayCard, tokens flexíveis. Analisamos isso no Active Directory. Não tenho certeza de nenhum outro sistema operacional que eles suportem.

Após 4 anos de luta com o RSA SecurID, mudamos para o cartão inteligente Gemalto .NET.
Por que não gostamos do RSA SecurID:

• todo mês, temos alguns problemas com algum usuário que não conseguiu fazer logon em sua máquina. A única solução foi conectar-se ao software do servidor RSA e tentar rastrear o motivo da observação dos logs.
• Seu software de servidor é realmente difícil de usar e não é intuitivo. Tínhamos apenas um cara que mal sabia como usá-lo.
• Você deve comprar novos tokens a cada dois anos. Depois, deve trocar o token ativo para cada usuário. Às vezes funciona, às vezes não. Nunca se sabe.
• Você deve instalar o software no Controlador de Domínio e, melhor, não o remova, ou não poderá fazer logon no DC .
• Você deve instalar a janela de logon em cada máquina no domínio
• Você não pode permitir o uso de senha e SecureID para usuários específicos
• Seu suporte / documentação é horrível
• Os usuários de laptops não conseguiram fazer logon em casa - e nenhuma credencial em cache nunca funcionou em nossas máquinas

Por que escolhemos a Gemalto .NET

• é um cartão inteligente totalmente compatível com o Windows. Todos os drivers estão no Windows Update.
• Você não precisa comprar novos tokens a cada poucos anos, apenas renova os certificados.
• Pode ser programado para uso especial se você precisar de outra coisa (além do logon simples).
• Os usuários podem fazer login usando suas senhas se o servidor da CA falhar por algum motivo, mas você pode forçá-los a usar o cartão inteligente, se desejar.
• Todo o software / API de cartão inteligente é bastante bem documentado pela Microsoft.

No lado de todos os softwares, há

http://www.wikidsystems.com/

Eles têm uma edição comunitária gratuita.

Estou feliz usuário de mobile-otp . aplicação java simples para o seu celular + algum código que você pode chamar do bash / php / praticamente qualquer coisa. e até módulo pam [que eu não usei].