以前は CRYPTOCard を使用して、Windows認証とLinux認証の両方を実行しました。 RSA SecurIDでそれを見ると、検討すべき重要な要素であった総所有コストが多かったです。 CRYPTOCardを使用すると、RSAのようにトークンを送り返す必要なく、セキュリティ管理者がトークンを直接管理できます。バッテリーが切れると、管理者はバッテリーを交換してトークンを再プログラムできます。 RSAでは、バッテリーが切れた場合、それを送り返して交換する必要があります。つまり、迅速に交換できるように、トークンを手元に用意する必要があります。これは、Secure Computing Safewordトークンで経験したのと同じ状況です。
これは比較的新しいスタートアップ企業ですが、私は彼らの製品が2要素認証で最も興味深いものの1つだと思います。
http://www.yubico.com/products/yubikey/
- SecurIDキーフォブよりも小さいです。
- 電池はありません。
- 数値の読み取りと再入力をユーザーに依存しません。
- コンピューターにドライバーは必要ありません。
スマートカードが配置されているネットワークを管理する必要があります。それらはOKの代替案です-ただし、現在は、組織内のすべてのワークステーションに障害が発生し、ドライバーの問題が発生するハードウェアを配置していることに注意してください。また、スマートカードを読み取るソフトウェアと、スマートカードを作成、更新、修正するマシンのライセンスも必要です。その本当のPITA。私本当に、本当に私が働いていた組織が代わりにSecureIDを選択したことを望みます。ユーザーは、キーチェーンサイズのナンバージェネレーターと同じくらい簡単にスマートカードを失う可能性があります。
要するに、私は二要素認証のために他に何もお勧めしません。 SecureIDはSolidであり、機能します。
スマートカードをチェックしてください。
ユーザーはWindows ADに対して認証します。国防総省によって使用中
これはマイクロソフトの計画ガイドです。
独自のPKIインフラストラクチャの実行に悪影響を及ぼさない場合は、USB 2要素認証である AladdinのeTokens を使用して、長期にわたって良好な結果が得られました。
これらは、Webアプリケーション、VPN認証、SSH認証、ADログイン、共有パスワードリスト、Web SSOパスワードストアなど、さまざまなシナリオで実装されています。
Entrustを使用しました。RSA/ Vascoなどよりもはるかに安価です...
http://www.entrust.com/strong-authentication/identityguard/tokens/index.htm
1つのSecurIDチャレンジャー:Vasco/Digipass: リンクテキスト
RSA SecurIDとの4年間の戦いの後、私たちはGemalto .NETスマートカードに切り替えました。
RSA SecurIDが好ましくない理由:
- 毎月、ユーザーが自分のマシンにログオンできないという問題が発生しています。唯一の解決策は、RSAサーバーソフトウェアに接続し、ログを監視する理由を追跡することでした。
- 彼らのサーバーソフトウェアは本当に使いにくく、直感的ではありません。使い方がほとんどわからない男性が1人いました。
- 2年ごとに新しいトークンを購入する必要があります。その後、ユーザーごとにアクティブなトークンを切り替える必要があります。うまくいくこともあれば、うまくいかないこともあります。あなたは、決して知らない。
- ドメインコントローラーにソフトウェアをインストールする必要があります。削除しないでください DCにログオンできなくなります 。
- ドメイン内の各マシンにログオンウィンドウをインストールする必要があります
- 特定のユーザーに対してパスワードとSecureIDの両方の使用を許可することはできません
- 彼らのサポート/ドキュメントはひどい
- ラップトップユーザーは自宅でログオンできませんでした。キャッシュされた資格情報がマシンで機能することはありませんでした。
Gemalto .NETを選択した理由
- windowsで完全にサポートされているスマートカードです。すべてのドライバはWindows Updateにあります。
- 数年ごとに新しいトークンを購入する必要はなく、証明書を更新するだけです。
- 何か他のものが必要な場合(それ以外の場合は単純なログオン)、特別な用途のためにプログラムできます。
- ユーザーは、何らかの理由でCAサーバーに障害が発生した場合にパスワードを使用してログインできますが、必要に応じてスマートカードを使用するように強制できます。
- すべてのスマートカードAPI /ソフトウェアは、Microsoftによってかなり文書化されています。
現在、SMSを介した2要素認証がSecurIDまたは他のアクセスカード関連のソリューションの受け入れ可能な代替になるかどうかを評価しています。モバイルアプリケーションを使用している場合(アプリケーションが同じデバイスSMSメッセージが受信されます)。
私の場合、これはリモートアクセス/ VPN専用で、 Barracuda SSL VPN を見ています。
Signify のような会社のホストされたRSA SecurIDを検討することもできます。これは、人々のために少数のデバイスだけが必要な場合に適しています。
ActivIdenty を検討することもできます。2FAを調べたところ、このソリューションが気に入りました。スマートカード、USBトークン、OTPトークン、DisplayCardトークン、ソフトトークンをサポートしています。 Active Directoryについては、これを調べました。彼らがサポートしている他のOSについてはよくわかりません。
私は mobile-otp のユーザーに満足しています。単純なJavaモバイル用アプリケーション+ bash/php /実質的に何からでも呼び出すことができるいくつかのコード、さらにはpamモジュール[私は使用していません]。