Byłbym wdzięczny, gdyby odpowiedzi zawierały system operacyjny, w którym zostało zaimplementowane rozwiązanie
serverhorror
Aby pomóc nam w udzieleniu lepszych odpowiedzi, czy możesz nam powiedzieć, jakie masz problemy z rozwiązaniem RSA? Czy to cena? Cechy? Model bezpieczeństwa?
Richard West,
Podstawowy problem: nie lubię wybierać produktu bez rozważania alternatyw.
Toto
Produktów i usług, w tym zalecenia alternatyw Recon jest off topic za zaktualizowanego FAQ .
sysadmin1138
Odpowiedzi:
5
Wcześniej współpracowałem z CRYPTOCard, aby przeprowadzić uwierzytelnianie zarówno w systemie Windows, jak i Linux. Patrząc na to w RSA SecurID, kluczowym czynnikiem do rozważenia był bardziej całkowity koszt posiadania. Dzięki CRYPTOCard tokeny były zarządzane bezpośrednio przez administratora bezpieczeństwa bez konieczności odesłania go jak w przypadku RSA. Po wyczerpaniu baterii administrator może wymienić baterię i przeprogramować token. Z RSA po wyczerpaniu się baterii należy odesłać ją z powrotem i wymienić, co oznaczało konieczność posiadania dodatkowych żetonów pod ręką, aby można je było szybko wymienić. To jest ta sama sytuacja, której doświadczyłem z tokenami Bezpiecznego przetwarzania danych.
+1 do tego, używamy go. Aplikacje na smartfony w sklepie iOS i Android.
ceejayoz
3
Muszę zarządzać siecią, w której znajdują się karty inteligentne. Stanowią dobrą alternatywę - pamiętaj jednak, że umieszczasz elementy, które ulegną awarii i będą mieć problemy ze sterownikami na każdej stacji roboczej w organizacji. Będziesz także musiał licencjonować oprogramowanie, które będzie czytać kartę inteligentną i maszynę do tworzenia, aktualizacji i naprawy kart inteligentnych. To prawdziwa PITA. Ja naprawdę życzę organizację pracowałem wybrały SecureID zamiast. Użytkownicy mogą stracić kartę inteligentną tak łatwo, jak generator liczb wielkości łańcucha kluczy.
Krótko mówiąc - nie polecałbym niczego innego do uwierzytelniania dwuskładnikowego. SecureID jest Solid i działa.
Wdrożyliśmy je w wielu różnych scenariuszach - aplikacje internetowe, uwierzytelnianie VPN, uwierzytelnianie SSH, logowanie AD, listy wspólnych haseł i przechowywanie haseł w SSO.
Obecnie oceniamy, czy uwierzytelnianie 2-czynnikowe przez SMS będzie akceptowalną alternatywą dla SecurID lub innych rozwiązań związanych z kartami dostępu. Oczywiście nie jest to dobre, jeśli korzystasz z aplikacji mobilnych (aplikacja działa na tym samym urządzeniu, na którym odbierana jest wiadomość SMS).
W moim przypadku jest to tylko do zdalnego dostępu / VPN i patrzą na Barracuda SSL VPN .
Możesz również rozważyć ActivIdenty Kiedy zajrzałem do 2FA, podobało mi się to rozwiązanie. Obsługują karty SmartCard, tokeny USB, tokeny OTP, tokeny DisplayCard, tokeny miękkie. Sprawdziliśmy to w przypadku usługi Active Directory. Nie jestem pewien żadnego innego obsługiwanego przez nich systemu operacyjnego.
Po 4 latach walki z RSA SecurID przeszliśmy na kartę inteligentną Gemalto .NET.
Dlaczego nie lubimy RSA SecurID:
co miesiąc mamy problemy z pewnym użytkownikiem, który nie był w stanie zalogować się na swoim komputerze. Jedynym rozwiązaniem było połączenie się z oprogramowaniem serwera RSA i próba śledzenia przyczyny oglądania dzienników.
Ich oprogramowanie serwerowe jest naprawdę trudne w obsłudze i nieintuicyjne. Mieliśmy tylko jednego faceta, który ledwo wiedział, jak go używać.
Musisz kupować nowe tokeny co dwa lata, następnie musisz zmienić aktywny token dla każdego użytkownika. Czasami to działa, czasem nie. Nigdy nie wiesz.
Musisz zainstalować ich okno logowania na każdym komputerze w domenie
Nie można zezwolić na używanie zarówno hasła, jak i SecureID dla konkretnego użytkownika
Ich wsparcie / dokumentacja jest okropna
Użytkownicy laptopów nie mogli zalogować się w domu - żadne dane z pamięci podręcznej nigdy nie działały na naszych komputerach
Dlaczego wybraliśmy Gemalto .NET
jest to karta inteligentna całkowicie obsługiwana przez system Windows. Wszystkie sterowniki są w Windows Update.
Nie musisz kupować nowych tokenów co kilka lat, wystarczy odnowić certyfikaty.
Można go zaprogramować do specjalnego użytku, jeśli potrzebujesz czegoś innego (innego niż proste logowanie).
Użytkownicy mogą zalogować się przy użyciu swoich haseł, jeśli z jakiegoś powodu serwer CA ulegnie awarii, ale możesz zmusić ich do użycia karty inteligentnej, jeśli chcesz.
Całe API / oprogramowanie karty inteligentnej jest dość dobrze udokumentowane przez Microsoft.
Jestem szczęśliwym użytkownikiem mobile-otp . prosta aplikacja Java na Twój telefon komórkowy + kod, który możesz wywołać z bash / php / praktycznie wszystkiego. a nawet moduł pam [którego nie użyłem].
Odpowiedzi:
Wcześniej współpracowałem z CRYPTOCard, aby przeprowadzić uwierzytelnianie zarówno w systemie Windows, jak i Linux. Patrząc na to w RSA SecurID, kluczowym czynnikiem do rozważenia był bardziej całkowity koszt posiadania. Dzięki CRYPTOCard tokeny były zarządzane bezpośrednio przez administratora bezpieczeństwa bez konieczności odesłania go jak w przypadku RSA. Po wyczerpaniu baterii administrator może wymienić baterię i przeprogramować token. Z RSA po wyczerpaniu się baterii należy odesłać ją z powrotem i wymienić, co oznaczało konieczność posiadania dodatkowych żetonów pod ręką, aby można je było szybko wymienić. To jest ta sama sytuacja, której doświadczyłem z tokenami Bezpiecznego przetwarzania danych.
źródło
Jest to stosunkowo nowa firma startupowa, ale myślę, że jej produkt jest jednym z najciekawszych dostępnych w przypadku autoryzacji 2-czynnikowej.
http://www.yubico.com/products/yubikey/
źródło
Na mniejszą skalę możesz użyć Google Authenticator.
Dostępny jest całkiem prosty moduł PAM.
http://code.google.com/p/google-authenticator/
źródło
Muszę zarządzać siecią, w której znajdują się karty inteligentne. Stanowią dobrą alternatywę - pamiętaj jednak, że umieszczasz elementy, które ulegną awarii i będą mieć problemy ze sterownikami na każdej stacji roboczej w organizacji. Będziesz także musiał licencjonować oprogramowanie, które będzie czytać kartę inteligentną i maszynę do tworzenia, aktualizacji i naprawy kart inteligentnych. To prawdziwa PITA. Ja naprawdę życzę organizację pracowałem wybrały SecureID zamiast. Użytkownicy mogą stracić kartę inteligentną tak łatwo, jak generator liczb wielkości łańcucha kluczy.
Krótko mówiąc - nie polecałbym niczego innego do uwierzytelniania dwuskładnikowego. SecureID jest Solid i działa.
źródło
Sprawdź karty inteligentne.
Użytkownicy uwierzytelniają się w Windows AD. W użyciu przez DOD
Oto przewodnik planowania Microsoft.
http://go.microsoft.com/fwlink/?LinkId=41314
źródło
Jeśli nie masz nic przeciwko prowadzeniu własnej infrastruktury PKI, to odnieśliśmy duży sukces z eTokens firmy Aladdin , które są autoryzacją dwuskładnikową USB.
Wdrożyliśmy je w wielu różnych scenariuszach - aplikacje internetowe, uwierzytelnianie VPN, uwierzytelnianie SSH, logowanie AD, listy wspólnych haseł i przechowywanie haseł w SSO.
źródło
Poszliśmy z Entrust, znacznie tańszym niż RSA / Vasco itp ...
http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm
źródło
Jeden z pretendentów SecurID: Vasco / Digipass: tekst linku
źródło
Możesz również rozważyć hostowane RSA SecurID od firmy takiej jak Signify , dobre, jeśli potrzebujesz tylko kilku urządzeń dla ludzi.
źródło
Obecnie oceniamy, czy uwierzytelnianie 2-czynnikowe przez SMS będzie akceptowalną alternatywą dla SecurID lub innych rozwiązań związanych z kartami dostępu. Oczywiście nie jest to dobre, jeśli korzystasz z aplikacji mobilnych (aplikacja działa na tym samym urządzeniu, na którym odbierana jest wiadomość SMS).
W moim przypadku jest to tylko do zdalnego dostępu / VPN i patrzą na Barracuda SSL VPN .
źródło
Możesz również rozważyć ActivIdenty Kiedy zajrzałem do 2FA, podobało mi się to rozwiązanie. Obsługują karty SmartCard, tokeny USB, tokeny OTP, tokeny DisplayCard, tokeny miękkie. Sprawdziliśmy to w przypadku usługi Active Directory. Nie jestem pewien żadnego innego obsługiwanego przez nich systemu operacyjnego.
źródło
Po 4 latach walki z RSA SecurID przeszliśmy na kartę inteligentną Gemalto .NET.
Dlaczego nie lubimy RSA SecurID:
Dlaczego wybraliśmy Gemalto .NET
źródło
Po stronie całego oprogramowania jest
http://www.wikidsystems.com/
Mają darmowe wydanie społeczności.
źródło
Jestem szczęśliwym użytkownikiem mobile-otp . prosta aplikacja Java na Twój telefon komórkowy + kod, który możesz wywołać z bash / php / praktycznie wszystkiego. a nawet moduł pam [którego nie użyłem].
źródło