Alternatywy dla RSA SecurID? [Zamknięte]

16

Czy używałeś i poleciłbyś alternatywę dla RSA SecurID dla uwierzytelniania dwuskładnikowego?

Toto
źródło
Byłbym wdzięczny, gdyby odpowiedzi zawierały system operacyjny, w którym zostało zaimplementowane rozwiązanie
serverhorror
Aby pomóc nam w udzieleniu lepszych odpowiedzi, czy możesz nam powiedzieć, jakie masz problemy z rozwiązaniem RSA? Czy to cena? Cechy? Model bezpieczeństwa?
Richard West,
Podstawowy problem: nie lubię wybierać produktu bez rozważania alternatyw.
Toto
Produktów i usług, w tym zalecenia alternatyw Recon jest off topic za zaktualizowanego FAQ .
sysadmin1138

Odpowiedzi:

5

Wcześniej współpracowałem z CRYPTOCard, aby przeprowadzić uwierzytelnianie zarówno w systemie Windows, jak i Linux. Patrząc na to w RSA SecurID, kluczowym czynnikiem do rozważenia był bardziej całkowity koszt posiadania. Dzięki CRYPTOCard tokeny były zarządzane bezpośrednio przez administratora bezpieczeństwa bez konieczności odesłania go jak w przypadku RSA. Po wyczerpaniu baterii administrator może wymienić baterię i przeprogramować token. Z RSA po wyczerpaniu się baterii należy odesłać ją z powrotem i wymienić, co oznaczało konieczność posiadania dodatkowych żetonów pod ręką, aby można je było szybko wymienić. To jest ta sama sytuacja, której doświadczyłem z tokenami Bezpiecznego przetwarzania danych.

Jeremy Bouse
źródło
16

Jest to stosunkowo nowa firma startupowa, ale myślę, że jej produkt jest jednym z najciekawszych dostępnych w przypadku autoryzacji 2-czynnikowej.

http://www.yubico.com/products/yubikey/

  • Jest mniejszy niż brelok SecurID.
  • Nie ma baterii.
  • Nie polega na tym, że użytkownik odczytuje i przepisuje numer.
  • Nie wymaga żadnych sterowników na komputerach.
3dinfluence
źródło
+1! Działa jak urok, integruje się z openid przez clavid.com
MatthieuP
Mniej wygodne przez połączenie sieciowe.
Alexandre Carmel-Veilleux,
+1 za rozwiązanie, które nie wymaga sterowników na lokalnym komputerze :)
GNUix
3

Muszę zarządzać siecią, w której znajdują się karty inteligentne. Stanowią dobrą alternatywę - pamiętaj jednak, że umieszczasz elementy, które ulegną awarii i będą mieć problemy ze sterownikami na każdej stacji roboczej w organizacji. Będziesz także musiał licencjonować oprogramowanie, które będzie czytać kartę inteligentną i maszynę do tworzenia, aktualizacji i naprawy kart inteligentnych. To prawdziwa PITA. Ja naprawdę życzę organizację pracowałem wybrały SecureID zamiast. Użytkownicy mogą stracić kartę inteligentną tak łatwo, jak generator liczb wielkości łańcucha kluczy.

Krótko mówiąc - nie polecałbym niczego innego do uwierzytelniania dwuskładnikowego. SecureID jest Solid i działa.

GNUix
źródło
2

Jeśli nie masz nic przeciwko prowadzeniu własnej infrastruktury PKI, to odnieśliśmy duży sukces z eTokens firmy Aladdin , które są autoryzacją dwuskładnikową USB.

Wdrożyliśmy je w wielu różnych scenariuszach - aplikacje internetowe, uwierzytelnianie VPN, uwierzytelnianie SSH, logowanie AD, listy wspólnych haseł i przechowywanie haseł w SSO.

Dan Carley
źródło
1

Jeden z pretendentów SecurID: Vasco / Digipass: tekst linku

Mathieu Chateau
źródło
1

Możesz również rozważyć hostowane RSA SecurID od firmy takiej jak Signify , dobre, jeśli potrzebujesz tylko kilku urządzeń dla ludzi.

SteveBurkett
źródło
1

Obecnie oceniamy, czy uwierzytelnianie 2-czynnikowe przez SMS będzie akceptowalną alternatywą dla SecurID lub innych rozwiązań związanych z kartami dostępu. Oczywiście nie jest to dobre, jeśli korzystasz z aplikacji mobilnych (aplikacja działa na tym samym urządzeniu, na którym odbierana jest wiadomość SMS).

W moim przypadku jest to tylko do zdalnego dostępu / VPN i patrzą na Barracuda SSL VPN .

Doug Luxem
źródło
1

Możesz również rozważyć ActivIdenty Kiedy zajrzałem do 2FA, podobało mi się to rozwiązanie. Obsługują karty SmartCard, tokeny USB, tokeny OTP, tokeny DisplayCard, tokeny miękkie. Sprawdziliśmy to w przypadku usługi Active Directory. Nie jestem pewien żadnego innego obsługiwanego przez nich systemu operacyjnego.

Kevin Garber
źródło
1

Po 4 latach walki z RSA SecurID przeszliśmy na kartę inteligentną Gemalto .NET.
Dlaczego nie lubimy RSA SecurID:

  • co miesiąc mamy problemy z pewnym użytkownikiem, który nie był w stanie zalogować się na swoim komputerze. Jedynym rozwiązaniem było połączenie się z oprogramowaniem serwera RSA i próba śledzenia przyczyny oglądania dzienników.
  • Ich oprogramowanie serwerowe jest naprawdę trudne w obsłudze i nieintuicyjne. Mieliśmy tylko jednego faceta, który ledwo wiedział, jak go używać.
  • Musisz kupować nowe tokeny co dwa lata, następnie musisz zmienić aktywny token dla każdego użytkownika. Czasami to działa, czasem nie. Nigdy nie wiesz.
  • Musisz zainstalować ich oprogramowanie na kontrolerze domeny i lepiej nie usuwaj go, w przeciwnym razie nie będziesz mógł zalogować się do DC .
  • Musisz zainstalować ich okno logowania na każdym komputerze w domenie
  • Nie można zezwolić na używanie zarówno hasła, jak i SecureID dla konkretnego użytkownika
  • Ich wsparcie / dokumentacja jest okropna
  • Użytkownicy laptopów nie mogli zalogować się w domu - żadne dane z pamięci podręcznej nigdy nie działały na naszych komputerach

Dlaczego wybraliśmy Gemalto .NET

  • jest to karta inteligentna całkowicie obsługiwana przez system Windows. Wszystkie sterowniki są w Windows Update.
  • Nie musisz kupować nowych tokenów co kilka lat, wystarczy odnowić certyfikaty.
  • Można go zaprogramować do specjalnego użytku, jeśli potrzebujesz czegoś innego (innego niż proste logowanie).
  • Użytkownicy mogą zalogować się przy użyciu swoich haseł, jeśli z jakiegoś powodu serwer CA ulegnie awarii, ale możesz zmusić ich do użycia karty inteligentnej, jeśli chcesz.
  • Całe API / oprogramowanie karty inteligentnej jest dość dobrze udokumentowane przez Microsoft.
Jasnowidz
źródło
0

Jestem szczęśliwym użytkownikiem mobile-otp . prosta aplikacja Java na Twój telefon komórkowy + kod, który możesz wywołać z bash / php / praktycznie wszystkiego. a nawet moduł pam [którego nie użyłem].

pQd
źródło