¿Alternativas a RSA SecurID? [cerrado]

¿Ha utilizado, y recomendaría, una alternativa a RSA SecurID para la autenticación de dos factores?

Anteriormente he trabajado con CRYPTOCard para realizar la autenticación de Windows y Linux. Al mirarlo a través de RSA SecurID, fue más el costo total de propiedad lo que fue un factor clave a considerar. Con CRYPTOCard, el administrador de seguridad podía administrar los tokens directamente sin tener que devolverlos como con RSA. Cuando la batería se agota, el administrador puede cambiar la batería y reprogramar el token. Con RSA cuando la batería se agotaba, tendría que devolverla y reemplazarla, lo que significaba tener que tener tokens adicionales a mano para poder reemplazarlos rápidamente. Esta es la misma situación que he experimentado con los tokens Safe Computing Safeword.

Esta es una empresa de inicio relativamente nueva, pero creo que su producto es uno de los más interesantes para la autorización de 2 factores.

http://www.yubico.com/products/yubikey/

• Es más pequeño que el llavero SecurID.
• No tiene pilas.
• No depende de un usuario para leer y volver a escribir un número.
• No requiere ningún controlador en las computadoras.

En una escala más pequeña, puede usar Google Authenticator.

Hay un módulo PAM bastante sencillo disponible para él.

http://code.google.com/p/google-authenticator/

Tengo que administrar una red donde las tarjetas inteligentes están en su lugar. Son una buena alternativa. Sin embargo, tenga en cuenta que ahora está colocando piezas de hardware que fallarán y tendrán problemas de controladores en cada estación de trabajo de su organización. También deberá licenciar el software que leerá la tarjeta inteligente y una máquina para crear, actualizar y reparar las tarjetas inteligentes. Es una verdadera PITA. Yo realmente, realmente deseo que la organización trabajé para optado por SecurID en su lugar. Los usuarios pueden perder una tarjeta inteligente tan fácil como un generador de números del tamaño de un llavero.

En resumen: no recomendaría nada más para la autenticación de dos factores. SecureID es sólido y funciona.

Echa un vistazo a las tarjetas inteligentes.

Los usuarios se autentican en Windows AD. En uso por el DOD

Aquí hay una guía de planificación de Microsoft.

http://go.microsoft.com/fwlink/?LinkId=41314

Si no es adverso al ejecutar su propia infraestructura PKI, hemos tenido un buen éxito a largo plazo con los eTokens de Aladdin , que son autenticación de dos factores USB.

Los hemos implementado en una gran variedad de escenarios: aplicaciones web, autenticación VPN, autenticación SSH, inicios de sesión de AD, listas de contraseñas compartidas y almacenes de contraseñas web SSO.

Fuimos con Entrust, mucho más barato que RSA / Vasco, etc.

http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm

Un desafío SecurID: Vasco / Digipass: texto del enlace

También puede considerar el RSA SecurID alojado de una compañía como Signify , bueno para si solo desea unos pocos dispositivos para las personas.

Actualmente estamos evaluando si la autenticación de 2 factores a través de SMS será una alternativa aceptable a SecurID u otras soluciones relacionadas con tarjetas de acceso. Obviamente, esto no es bueno si está utilizando aplicaciones móviles (la aplicación se ejecuta en el mismo dispositivo en el que se recibe el mensaje SMS).

En mi caso, esto es solo para acceso remoto / VPN y estamos mirando la Barracuda SSL VPN .

Es posible que también desee considerar ActivIdenty. Cuando busqué en 2FA, me gustó esta solución. Admiten tarjetas inteligentes, tokens USB, tokens OTP, tokens DisplayCard, tokens suaves. Miramos esto para Active Directory. No estoy seguro de ningún otro sistema operativo que admitan.

Después de 4 años de pelear con RSA SecurID, cambiamos a la tarjeta inteligente Gemalto .NET.
Por qué no nos gusta RSA SecurID:

• cada mes tenemos algunos problemas con algún usuario que no pudo iniciar sesión en su máquina. La única solución era conectarse al software del servidor RSA y tratar de rastrear la razón de los registros.
• Su software de servidor es realmente difícil de usar y poco intuitivo. Solo teníamos un tipo que apenas sabía cómo usarlo.
• Debe comprar nuevos tokens cada dos años, luego debe cambiar el token activo para cada usuario. A veces funciona, a veces no. Nunca sabes.
• Debe instalar su software en el controlador de dominio, y mejor no lo elimine o no podrá iniciar sesión en DC .
• Debe instalar su ventana de inicio de sesión en cada máquina en el dominio
• No puede permitir el uso de contraseña y SecureID para usuarios específicos
• Su soporte / documentación es horrible
• Los usuarios de computadoras portátiles no pudieron iniciar sesión en casa, y nunca creyeron en nuestras máquinas credenciales almacenadas en caché

¿Por qué elegimos Gemalto .NET?

• Es una tarjeta inteligente que es totalmente compatible con Windows. Todos los controladores están en Windows Update.
• No necesita comprar nuevos tokens cada pocos años, solo renueve los certificados.
• Se puede programar para un uso especial si necesita algo más (que no sea un inicio de sesión simple).
• Los usuarios pueden iniciar sesión con sus contraseñas si su servidor de CA falla por algún motivo, pero puede obligarlos a usar una tarjeta inteligente si lo desea.
• Todas las tarjetas inteligentes API / software están bastante bien documentadas por Microsoft.

En todo el lado del software hay

http://www.wikidsystems.com/

Tienen una edición comunitaria gratuita.

Soy un usuario feliz de mobile-otp . simple aplicación java para tu móvil + algún código que puedes invocar desde bash / php / prácticamente cualquier cosa. e incluso el módulo pam [que no he usado].