Alternativen zu RSA SecurID? [geschlossen]

16

Haben Sie eine Alternative zu RSA SecurID für die Zwei-Faktor-Authentifizierung verwendet und würden diese empfehlen?

security authentication securid Toto
quelle
Ich wäre dankbar, wenn die Antworten das Betriebssystem enthielten, auf dem die Lösung implementiert wurde
serverhorror
Können Sie uns mitteilen, welche Probleme Sie mit der RSA-Lösung haben, um bessere Antworten zu erhalten? Ist es preis Eigenschaften? Sicherheitsmodell?
Richard West
Grundproblem: Ich mag es nicht, ein Produkt auszuwählen, ohne Alternativen in Betracht zu ziehen.
Toto
Produkt- und Serviceempfehlungen, einschließlich Aufklärung von Alternativen, sind gemäß der aktualisierten FAQ nicht relevant .
sysadmin1138

Antworten:

5

Ich habe zuvor mit CRYPTOCard gearbeitet , um sowohl Windows- als auch Linux-Authentifizierung durchzuführen. Bei der Betrachtung über RSA SecurID waren eher die Gesamtbetriebskosten ein entscheidender Faktor. Mit CRYPTOCard konnten die Token vom Sicherheitsadministrator direkt verwaltet werden, ohne sie wie bei RSA zurücksenden zu müssen. Wenn die Batterie leer ist, kann der Administrator die Batterie wechseln und den Token neu programmieren. Wenn die Batterie bei RSA verbraucht war, musste sie zurückgeschickt und ausgetauscht werden, was bedeutete, dass zusätzliche Token zur Hand waren, damit sie schnell ausgetauscht werden konnten. Dies ist die gleiche Situation, die ich mit Secure Computing Safeword-Tokens erlebt habe.

Jeremy Bouse
quelle
16

Dies ist ein relativ neues Startup-Unternehmen, aber ich denke, dass sein Produkt eines der interessantesten für die 2-Faktor-Autorisierung ist.

http://www.yubico.com/products/yubikey/

  • Es ist kleiner als der SecurID-Schlüsselanhänger.
  • Hat keine Batterien.
  • Verlässt sich nicht darauf, dass ein Benutzer eine Nummer liest und erneut eingibt.
  • Benötigt keine Treiber auf den Computern.
3deinfluss
quelle
+1! Funktioniert wie ein Zauber, integriert sich mit openid über clavid.com
MatthieuP
Weniger bequem über eine Netzwerkverbindung.
Alexandre Carmel-Veilleux
+1 für eine Lösung, die keine Treiber auf dem lokalen Computer erfordert :)
GNUix
5

In kleinerem Maßstab können Sie Google Authenticator verwenden.

Es gibt ein ziemlich einfaches PAM-Modul dafür.

http://code.google.com/p/google-authenticator/

Chris Traweek
quelle
+1 dafür verwenden wir es. Smartphone-Apps im iOS- und Android-Store.
Ceejayoz
3

Ich muss ein Netzwerk verwalten, in dem Smartcards vorhanden sind. Sie stellen eine gute Alternative dar. Beachten Sie jedoch, dass Sie jetzt Hardwarekomponenten installieren, die ausfallen und Treiberprobleme auf jeder einzelnen Workstation in Ihrer Organisation aufweisen. Sie müssen auch Software lizenzieren, die die Smartcard und einen Computer liest, um die Smartcards zu erstellen, zu aktualisieren und zu reparieren. Es ist eine echte PITA. Ich wünschte wirklich, die Organisation, für die ich gearbeitet habe, hätte sich stattdessen für SecureID entschieden. Benutzer können eine Smartcard genauso einfach verlieren wie einen schlüsselanhängergroßen Zahlengenerator.

Kurz gesagt - ich würde nichts anderes für die Zwei-Faktor-Authentifizierung empfehlen. SecureID ist Solid und es funktioniert.

GNUix
quelle
2

Wenn Sie nicht dagegen sind, Ihre eigene PKI-Infrastruktur zu betreiben, haben wir mit Aladdins eTokens , bei denen es sich um USB-Zwei-Faktor -Authentifizierung handelt , einen langjährigen Erfolg .

Wir haben sie in einer Vielzahl von Szenarien implementiert - Webanwendungen, VPN-Authentifizierung, SSH-Authentifizierung, AD-Anmeldungen, gemeinsame Kennwortlisten und Web-SSO-Kennwortspeicher.

Dan Carley
quelle
1

Ein SecurID-Herausforderer: Vasco / Digipass: Linktext

Schloss Mathieu
quelle
1

Wir prüfen derzeit, ob die 2-Faktor-Authentifizierung über SMS eine akzeptable Alternative zu SecurID oder anderen Lösungen im Zusammenhang mit Zugangskarten darstellt. Dies ist offensichtlich nicht sinnvoll, wenn Sie mobile Anwendungen verwenden (die Anwendung wird auf demselben Gerät ausgeführt, auf dem die SMS-Nachricht empfangen wurde).

In meinem Fall ist dies nur für RAS / VPN und es handelt sich um das Barracuda SSL VPN .

Doug Luxem
quelle
1

Vielleicht möchten Sie auch ActivIdenty in Betracht ziehen. Als ich mir 2FA ansah, mochte ich diese Lösung. Sie unterstützen SmartCards, USB-Tokens, OTP-Tokens, DisplayCard-Tokens und Soft-Tokens. Wir haben dies für Active Directory untersucht. Ich bin mir nicht sicher, welches andere Betriebssystem sie unterstützen.

Kevin Garber
quelle
1

Nach 4 Jahren des Kampfes mit RSA SecurID haben wir auf die Gemalto .NET-Smartcard umgestellt.
Warum wir RSA SecurID nicht mögen:

  • Jeden Monat haben wir einige Probleme mit einem Benutzer, der sich nicht an seinem Computer anmelden konnte. Die einzige Lösung bestand darin, eine Verbindung zur RSA-Serversoftware herzustellen und den Grund für das Überwachen von Protokollen zu ermitteln.
  • Ihre Serversoftware ist sehr schwer zu bedienen und nicht intuitiv. Wir hatten nur einen Mann, der kaum ein Wissen hatte, wie man es benutzt.
  • Sie müssen alle zwei Jahre neue Token kaufen. Anschließend müssen Sie den aktiven Token für jeden Benutzer wechseln. Manchmal funktioniert es, manchmal nicht. Man weiß nie.
  • Sie müssen die Software auf dem Domänencontroller installieren. Entfernen Sie sie besser nicht, da Sie sich sonst nicht bei DC anmelden können .
  • Sie müssen das Anmeldefenster auf jedem Computer in der Domäne installieren
  • Sie können nicht zulassen, dass sowohl das Kennwort als auch die SecureID für einen bestimmten Benutzer verwendet werden
  • Ihre Unterstützung / Dokumentation ist schrecklich
  • Benutzer von Laptops konnten sich zu Hause nicht anmelden, und auf unseren Computern funktionierten keine zwischengespeicherten Anmeldeinformationen

Warum wir uns für Gemalto .NET entschieden haben

  • Es ist eine Smartcard, die vollständig von Windows unterstützt wird. Alle Treiber sind auf Windows Update installiert.
  • Sie müssen nicht alle paar Jahre neue Token kaufen, sondern nur Zertifikate erneuern.
  • Es kann für eine spezielle Verwendung programmiert werden, wenn Sie etwas anderes benötigen (außer einfache Anmeldung).
  • Benutzer können sich mit ihren Kennwörtern anmelden, wenn Ihr CA-Server aus irgendeinem Grund ausfällt. Sie können sie jedoch zur Verwendung der Smartcard zwingen, wenn Sie dies möchten.
  • Alle Smartcard-APIs / -Software sind von Microsoft recht gut dokumentiert.
Seher
quelle
0

Ich bin ein glücklicher Benutzer von Mobile-Otp . einfache Java-Anwendung für Ihr Handy + Code, den Sie aus Bash / PHP / praktisch alles aufrufen können. und sogar Pam-Modul [das ich nicht benutzt habe].

pQd
quelle