私の地元の銀行では 2要素認証 を使用しており、お客様はパスワードを入力して1回限りPIN経由でSMS携帯電話に配信= ORセキュリティトークンデバイスから。
私はeコマースの分野でWebスタートアップをやっています。
ログインなどの重要なページには、すでにhttpsを実装しています。私は、イニシャルがGdの費用対効果の高いSSL CAを選択しました。
これは将来の可能性がありますが、ユーザーのローカル銀行のような2要素認証を実装するための費用効果の高いソリューションは何ですか?
SSL証明書のためにGdにアプローチしたのと同じように、どのベンダーが費用対効果の高いソリューションを提供しますか?
ユーザー認証機能を他のユーザーに委任する場合は、 Googleの2要素認証 が適切なオプションです。
PhoneFacter を調べることをお勧めします。私は過去にそれらを見てきましたが、それは非常に興味深い概念であることがわかりました。銀行のように、彼らは電話を2番目の要素として使用し、SMSまたは確認のために直接音声通話を提供します。
もちろん、それらが「費用対効果」であるかどうかは、それらの単語があなたにとって何を意味するかに依存します。
私はそれらを個人的に使用していませんが、 YubiKey についていくつかの情報源から非常に良いことを聞きました。それが使用される時間。
Duo Security で2要素ソリューションを提供しています。これは、音声、SMS、モバイルデバイス、およびハードウェアトークンを使用できます。オープンソースの web および nix クライアントも、オプションの評価に役立つ場合があります(私たちのものも、他のものも、独自のものをロールすることにも)。免責事項、私はDuo開発者です。
もう少し標準的でないものを提案して、ソフトウェアベースの生体認証の使用を検討することはできますか?
私はこのスペースで働いているいくつかの(ステルス)スタートアップに精通しています...これには、キーボードのダイナミクス、ウェブカメラによる指紋認識などが含まれます...
残念なことに、コストの数値はわかりませんが、ex-VeriSign クラウドベースの2要素認証 を試してみたいと思うかもしれません。ウェブサイトはそれが低コストであると主張しています。
答えはありませんが、ここに投稿します。日常の一般的なeコマースサイトが、標準として2要素認証の使用を開始しないことを願っています。あなたのビジネスに対して活用される大きな責任(許容できないリスク+コスト)がない限り、それはユーザーにとって常にオプションであるべきです。私は彼らが嫌いで、旅行中に彼らはひどく迷惑です。テキストメッセージまたは電子メールを待って1回限りのコードを転記している間、Webエクスペリエンスが遅くなります。私の最悪の経験は、海外でのSMS確認コードの受信と、ローミング中の電話の受信です。
私の提案は次のとおりです。さらに進むための時間とお金が手に入るまで、メールアドレスの検証とHTTPSを使用してください。次に、OpenIDと同様に、オプションとして追加します。
電話番号ベースの2要素認証でさえ、ユーザーの電話番号の識別に依存しています。ランダムなウェブサイトに電話番号を教えるよりも、住所を確認するためにクレジットカードを渡す方を知っています。特に電子商取引の分野にいる場合は。本人確認は、ログインするための追加のステップではなく、登録のための追加のステップとして検討してください。
SMSは、ほとんどの場合「ファイアアンドフォーゲット」モードで機能し、送信速度は送信者の制御の及ばない多くの要因に依存するため、品質保証チャネルにはなりませんでした。また、現在のユーザーの電話番号を維持し、それを変更するための安全な手順が必要です。さらに、SMSのコストはまだ比較的高いです。私はテストしませんでしたが、どれくらいのコストがかかるのかわかりませんが、解決策は興味深いようです。SMSの場合と同様に、あなたのサイトを使用するための要件として携帯電話を強制すること。解決策: http://www.cronto.com/visual_cryptogram.htm
認証および承認ソリューションのコンサルタントとして、OTP、バイオメトリクス、およびその他のチャレンジレスポンスシステムを使用するいくつかの製品を見てきました。 Odyssey Technologies LimitedのSnorkel-TXは、Webアプリケーション向けの包括的で高度に設計されたセキュリティソリューションです。他の多くのソリューションに比べて費用対効果が高いです。 Webアプリケーションのコーディングを変更することなく、非常に短時間で実装できます。
Apache TripleSec は興味があるかもしれませんが、試していないので、どれほど安定しているかはわかりません。