Какие многофакторные токены доступа наиболее подходят для использования в корпоративной сети?
Я заинтересован в изучении всех вариантов включения многофакторной проверки подлинности домена в сети Active Directory. Я не исключаю никаких технологий из этого вопроса, однако предпочитаю более простые реализации для разработки конфигураций. Считыватели отпечатков пальцев были бы идеальными, так как конечный пользователь, как правило, способен не потерять свои пальцы. Также могут работать маленькие жесткие токены, такие как смарт-карты, USB-токены и т. Д.
5 ответов
Лично я бы избегал считывателей отпечатков пальцев, они не так надежны, как вы могли бы подумать - на стекле появляются пятна, пользователь разрезает их фигурки и т. Д. Также их может победить Gummy Bear.
Сейчас стандартом кажутся смарт-карты или какой-то токен со случайным числом - RSA - самое большое имя. Лично я неравнодушен к токенам, так как могу привязать их к своей цепочке для ключей и не беспокоиться о другой карте. Я бы начал с RSA, поскольку они являются крупнейшим именем и с большей вероятностью интегрируются во все ваши системы.
Я немного поработал с AAA- решением ActivIdentity 4Tres и использовал его для удаленного доступа Citrix. Это позволяет использовать обычные карты ввода PIN-кода, этот однокнопочный генератор размером с кредитную карту, а также SMPP-обмен текстовыми сообщениями. Поскольку токены могут быть дорогими, может быть желательно использовать обмен сообщениями SMPP для доставки одноразового пароля на сотовый телефон, зарегистрированный пользователем Active Directory.
Фактор телефона. Особенно хорошо работает в средах, где у сотрудников есть мобильные телефоны, ежевика.
Как конечный пользователь, я обнаружил, что Yubikey ( http://www.yubico.com/products/yubikey/) гораздо проще в использовании, чем RSA SecurID ( http://www.rsa.com/node.aspx?id=1156).
Опыт конечных пользователей - не единственное соображение, и, как отмечали другие, существует экосистема продуктов, поддерживающих SecurID. Однако, оглядываясь на ИТ-барьер для сотрудников службы безопасности, SecurID никогда не казался особенно простым в управлении.
Что касается компонента "что-то, что вы есть", то кажется, что текущий набор широко доступных считывателей отпечатков пальцев может быть реализован не так надежно, как этого требует ОГО.
Я также являюсь поклонником токенов типа одноразовых паролей, таких как SecurID RSA, поскольку они в основном довольно просты и, как правило, просты в управлении в больших масштабах. Традиционный токен "брелок" обеспечивает хороший уровень аутентификации, который лучше, чем простые старые пароли, но они не могут аутентифицировать оба конца транзакции, и если они не обернуты в достойный внешний уровень, который обеспечивает взаимную аутентификацию, вся система не является надежной, Использование таких токенов в любой незащищенной сети без защищенной обертки просто требует посреднической атаки. Активные токены типа USB \ Смарт-карты справляются с этой задачей гораздо лучше, но их гораздо сложнее поддерживать - сброс \ переиздание \ первоначальная инициализация - гораздо более трудоемкая задача, но для ситуаций с высокими ценностями это гораздо лучшее решение.