Alternatives à RSA SecurID? [fermé]

Avez-vous utilisé et recommanderiez-vous une alternative à RSA SecurID pour l'authentification à deux facteurs?

J'ai déjà travaillé avec CRYPTOCard pour effectuer à la fois l'authentification Windows et Linux. Lorsque vous l'examinez via RSA SecurID, c'est davantage le coût total de possession qui est un facteur clé à prendre en considération. Avec CRYPTOCard, les jetons étaient gérables directement par l'administrateur de la sécurité sans avoir à les renvoyer comme avec RSA. Lorsque la batterie est morte, l'administrateur peut changer la batterie et reprogrammer le jeton. Avec RSA lorsque la batterie est morte, vous devez la renvoyer et la faire remplacer, ce qui signifie que vous devez avoir des jetons supplémentaires à portée de main afin qu'ils puissent être rapidement remplacés. C'est la même situation que j'ai connue avec les jetons Safeword de Secure Computing.

Il s'agit d'une start-up relativement nouvelle, mais je pense que leur produit est l'un des plus intéressants pour l'autorisation à 2 facteurs.

http://www.yubico.com/products/yubikey/

• Il est plus petit que le porte-clés SecurID.
• N'a pas de piles.
• Ne dépend pas d'un utilisateur pour lire et retaper un nombre.
• Ne nécessite aucun pilote sur les ordinateurs.

À plus petite échelle, vous pouvez utiliser Google Authenticator.

Un module PAM assez simple est disponible pour cela.

http://code.google.com/p/google-authenticator/

Je dois gérer un réseau où les cartes à puce sont en place. Ils sont une alternative OK - Gardez à l'esprit cependant que vous placez maintenant des pièces de matériel qui échoueront et auront des problèmes de pilotes sur chaque poste de travail de votre organisation. Vous devrez également acquérir un logiciel qui lira la carte à puce et une machine pour créer, mettre à jour et réparer les cartes à puce. C'est un vrai PITA. Je souhaite vraiment, vraiment l'organisation pour laquelle j'ai travaillé a opté pour SecureID à la place. Les utilisateurs peuvent perdre une carte à puce tout aussi facilement qu'un générateur de nombres de la taille d'un porte-clés.

En bref - je ne recommanderais rien d'autre pour l'authentification à deux facteurs. SecureID est solide et cela fonctionne.

Découvrez les cartes à puce.

Les utilisateurs s'authentifient auprès de Windows AD. Utilisé par le DOD

Voici un guide de planification Microsoft.

http://go.microsoft.com/fwlink/?LinkId=41314

Si vous n'êtes pas opposé à l'exécution de votre propre infrastructure PKI, nous avons eu un bon succès à long terme avec les eTokens d' Aladdin , qui sont une authentification USB à deux facteurs.

Nous les avons mis en œuvre dans une vaste gamme de scénarios - applications Web, authentification VPN, authentification SSH, connexions AD, listes de mots de passe partagées et magasins de mots de passe SSO Web.

Nous sommes allés avec Entrust, beaucoup moins cher que RSA / Vasco etc ...

http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm

Un challenger SecurID: Vasco / Digipass: texte du lien

Vous pouvez également envisager l' hébergement RSA SecurID d'une entreprise comme Signify , idéal si vous ne voulez que quelques appareils pour les gens.

Nous évaluons actuellement si l'authentification à 2 facteurs par SMS sera une alternative acceptable à SecurID ou à d'autres solutions liées aux cartes d'accès. Évidemment, cela ne sert à rien si vous utilisez des applications mobiles (l'application s'exécute sur le même appareil que le message SMS est reçu).

Dans mon cas, ce n'est que pour l'accès à distance / VPN et regardons le VPN SSL Barracuda .

Vous voudrez peut-être également envisager ActivIdenty Lorsque j'ai regardé dans 2FA, j'ai aimé cette solution. Ils prennent en charge les cartes à puce, les jetons USB, les jetons OTP, les jetons DisplayCard et les jetons logiciels. Nous avons examiné cela pour Active Directory. Je ne suis sûr d'aucun autre système d'exploitation qu'ils prennent en charge.

Après 4 ans de combats avec RSA SecurID, nous sommes passés à la carte à puce Gemalto .NET.
Pourquoi nous n'aimons pas RSA SecurID:

• chaque mois, nous rencontrons des problèmes avec un utilisateur qui n'a pas pu se connecter à sa machine. La seule solution était de se connecter au logiciel serveur RSA et d'essayer de suivre la raison pour laquelle les journaux étaient affichés.
• Leur logiciel serveur est vraiment difficile à utiliser et peu intuitif. Nous n'avions qu'un seul gars qui savait à peine comment l'utiliser.
• Vous devez acheter de nouveaux jetons tous les deux ans, puis vous devez changer le jeton actif pour chaque utilisateur. Parfois ça marche, parfois non. On ne sait jamais.
• Vous devez installer leur logiciel sur le contrôleur de domaine et mieux ne le supprimez pas ou vous ne pourrez pas vous connecter à DC .
• Vous devez installer leur fenêtre de connexion sur chaque machine du domaine
• Vous ne pouvez pas autoriser à utiliser le mot de passe et SecureID pour un utilisateur spécifique
• Leur support / documentation est horrible
• Les utilisateurs d'ordinateurs portables n'ont pas pu se connecter à la maison - et aucune information d'identification mise en cache n'a jamais fonctionné sur nos machines

Pourquoi nous avons choisi Gemalto .NET

• c'est une carte à puce qui est entièrement prise en charge par Windows. Tous les pilotes sont sur Windows Update.
• Vous n'avez pas besoin d'acheter de nouveaux jetons toutes les quelques années, il vous suffit de renouveler les certificats.
• Il peut être programmé pour une utilisation spéciale si vous avez besoin d'autre chose (autre qu'une ouverture de session simple).
• Les utilisateurs peuvent se connecter en utilisant leurs mots de passe si votre serveur CA échoue pour une raison quelconque, mais vous pouvez les forcer à utiliser la carte à puce si vous le souhaitez.
• Tous les API / logiciels de cartes à puce sont plutôt bien documentés par Microsoft.

Du côté des logiciels, il y a

http://www.wikidsystems.com/

Ils ont une édition communautaire gratuite.

je suis un utilisateur heureux de mobile-otp . application java simple pour votre mobile + du code que vous pouvez invoquer depuis bash / php / pratiquement n'importe quoi. et même module pam [que je n'ai pas utilisé].