Альтернативы RSA SecurID?
Использовали ли вы и порекомендуете альтернативу RSA SecurID для двухфакторной аутентификации?
14 ответов
Ранее я работал с CRYPTOCard для проверки подлинности Windows и Linux. Если посмотреть на RSA SecurID, это было больше общей стоимости владения, которая была ключевым фактором для рассмотрения. С CRYPTOCard токены управлялись администратором безопасности напрямую, без необходимости отправлять их обратно, как с RSA. Когда батарея разрядилась, администратор мог заменить батарею и перепрограммировать токен. С RSA, когда батарея разрядилась, вам пришлось бы отправить ее обратно и заменить, что означало необходимость иметь дополнительные токены под рукой, чтобы их можно было быстро заменить. Это та же самая ситуация, с которой я столкнулся при использовании токенов Secure Computing Safeword.
Это относительно новая стартап-компания, но я думаю, что ее продукт является одним из наиболее интересных для двухфакторной авторизации.
http://www.yubico.com/products/yubikey/
- Это меньше, чем брелок SecurID.
- Не имеет батарей.
- Не полагается на пользователя, чтобы прочитать и перепечатать номер.
- Не требует никаких драйверов на компьютерах.
В меньшем масштабе вы можете использовать Google Authenticator.
Для этого есть довольно простой модуль PAM.
Я должен управлять сетью, где установлены смарт-карты. Они - хорошая альтернатива. Имейте в виду, однако, что сейчас вы размещаете оборудование, которое может дать сбой и проблемы с драйверами на каждой рабочей станции в вашей организации. Вам также нужно будет лицензировать программное обеспечение, которое будет считывать смарт-карту, и компьютер для создания, обновления и исправления смарт-карт. Это настоящая пита. Я действительно очень хочу, чтобы организация, в которой я работал, выбрала SecureID. Пользователи могут потерять смарт-карту так же просто, как генератор чисел размером с брелок.
Короче говоря - я бы не рекомендовал ничего другого для двухфакторной аутентификации. SecureID Solid, и это работает.
Проверьте смарт-карты.
Пользователи проходят аутентификацию в Windows AD. Используется DOD
Вот руководство по планированию Microsoft.
Мы пошли с Entrust, намного дешевле, чем RSA/Vasco и т.д...
http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm
Если вы не против использования собственной инфраструктуры PKI, у нас был хороший долгосрочный успех с электронными токенами Aladdin, которые являются двухфакторной аутентификацией USB.
Мы реализовали их в широком диапазоне сценариев - веб-приложения, аутентификация VPN, аутентификация SSH, логины AD, общие списки паролей и хранилища паролей SSO.
Возможно, вы захотите рассмотреть ActivIdenty. Когда я посмотрел на 2FA, мне понравилось это решение. Они поддерживают смарт-карты, USB-токены, OTP-токены, DisplayCard токены, программные токены. Мы смотрели на это для Active Directory. Я не уверен ни в какой другой ОС, которую они поддерживают.
После 4 лет борьбы с RSA SecurID мы перешли на смарт-карту Gemalto .NET.
Почему нам не нравится RSA SecurID:
- каждый месяц у нас возникают проблемы с каким-то пользователем, который не может войти на свою машину. Единственным решением было подключиться к программному обеспечению сервера RSA и попытаться отследить причину просмотра журналов.
- Их серверное программное обеспечение действительно сложно в использовании и не интуитивно понятно. У нас был только один парень, который едва знал, как его использовать.
- Вы должны покупать новые токены каждые два года, затем вы должны переключать активный токен для каждого пользователя. Иногда это работает, иногда нет. Никогда не знаешь.
- Вы должны установить их программное обеспечение на контроллере домена, и лучше не удалять его, иначе вы не сможете войти в DC.
- Вы должны установить их окно входа в систему на каждой машине в домене
- Вы не можете разрешить использовать как пароль, так и SecureID для конкретного пользователя
- Их поддержка / документация просто потрясающая
- Пользователи ноутбуков не могли войти в систему дома - и никакие кэшированные учетные данные никогда не работали на наших машинах
Почему мы выбрали Gemalto .NET
- Это смарт-карта, которая полностью поддерживается Windows. Все драйверы находятся в Центре обновления Windows.
- Вам не нужно покупать новые токены каждые несколько лет, просто обновите сертификаты.
- Он может быть запрограммирован для специального использования, если вам нужно что-то еще (кроме простого входа в систему).
- Пользователи могут войти в систему, используя свои пароли, если по какой-либо причине ваш сервер CA выходит из строя, но вы можете заставить их использовать смарт-карту, если хотите.
- Все API смарт-карт / программное обеспечение довольно хорошо задокументировано Microsoft.
Вы также можете подумать о размещении RSA SecurID от такой компании, как Signify, которая подойдет вам, если вам нужны только несколько устройств для людей.
На стороне всего программного обеспечения есть
У них есть бесплатная версия сообщества.
В настоящее время мы оцениваем, будет ли двухфакторная аутентификация по SMS приемлемой альтернативой SecurID или другим решениям, связанным с картами доступа. Очевидно, что это плохо, если вы используете мобильные приложения (приложение работает на том же устройстве, на которое получено SMS-сообщение).
В моем случае это только для удаленного доступа /VPN, и мы смотрим на Barracuda SSL VPN.
Я счастливый пользователь mobile-otp. простое Java-приложение для вашего мобильного телефона + некоторый код, который вы можете вызвать из bash / php / практически что угодно. и даже модуль PAM [который я не использовал].