Какие мультифакторные маркеры доступа наиболее подходят для использования в корпоративной сети?
Я знаю, что это не точно, что Вы ищете только возможная альтернатива, которая будет почти наверняка работать через XP к Vista, запускает Ваш скрипт Powershell удаленно через также:
psexec - Microsoft (сделанный Mark Russinovich, достаточно сказал!)
rctrlx (мой инструмент) - более мощный, чем psexec в определенных ситуациях
Remcom - Открытый исходный код
Тем путем Вы ничего не должны устанавливать ни на одной машине кроме Powershell
Лично я избежал бы считывателей отпечатков пальцев, они не так надежны, как Вы думали бы - стекло получает пятна, пользователь сокращает их figers и т.д. Также они могут быть побеждены Липким Переносом.
Стандарт прямо сейчас, кажется, Смарт-карты или своего рода Маркер со случайным числом - RSA быть самым большим именем. Лично я неравнодушен к Маркерам, поскольку я могу сцепить их со своей цепочкой для ключей и не иметь для волнения о другой карте. Я запустил бы с RSA, так как они - самое большое имя и были бы наиболее вероятны интегрироваться во все Ваши системы.
-
1upvote для этого. Один из моего фаворита в этом отношении aladdin.com/etoken/devices/default.aspx – cstamas 23 July 2009 в 20:54
-
2Липкий перенос?В самом деле? Я собираюсь попробовать тот сам. – user13846 23 July 2009 в 20:58
-
3@axxmasterr: да я весело провел время, когда мой парень безопасности поместил считыватель отпечатков пальцев на свой рабочий стол :)... По-видимому, тот же парень сделал это с " photoshop" (и что еще более важно испаренное связующее звено а-ля CSI), таким образом, я оставил тот. – Zypher 23 July 2009 в 21:07
-
4+1 для рекомендации для RSA. Мы используем их устройства связки ключей, и они работают отлично для двухфакторной аутентификации – Kevin Kuphal 23 July 2009 в 21:21
Я работал немного с решением ActivIdentity 4Tres AAA и использованием его для удаленного доступа Citrix. Это позволяет использование обычных брелоков/карт Ввода PIN-кода, этой единственной кнопки генератор размера кредитной карты и также обмен текстовыми сообщениями SMPP. Так как маркеры могут быть дорогими, может быть желательно использовать SMPP, обменивающийся сообщениями для обеспечения одноразового пароля сотовому телефону, зарегистрированному в Пользователе Active Directory.
Как конечный пользователь, я нашел Yubikey (http://www.yubico.com/products/yubikey/) намного легче использовать, чем (http://www.rsa.com/node.aspx?id=1156) RSA SecurID.
Опыт конечного пользователя не является единственным соображением, и как другие указали, существует экосистема поддержки продуктов SecurID. Просматривая забор IT парням безопасности, однако, SecurID никогда не казался особенно легким справиться.
Что касается "чего-то Вы -" компонент, действительно кажется, что текущий набор широко доступных считывателей отпечатков пальцев не может быть реализован так же надежно, как CSO потребовал бы.
-
1Here' s другое голосование за Yubikey. We' рассмотрение ре соединения его с некоторым программным обеспечением из rohos.com для защиты наших администраторских учетных записей Предприятия. Мы будем, скорее всего, устанавливать и настраивать наш собственный сервер проверки OTP в кампусе для этого также. Надеется быть приблизительно 50$ за затраты на администрирование.Неплохо. – Tatas 23 July 2009 в 22:00
Телефонный Фактор. Работы особенно хорошо в средах, где у сотрудников есть сотовые телефоны, ежевика.
Я - также поклонник маркеров типа одноразового пароля как SecurID RSA, поскольку они в основном довольно просты и обычно легки справиться в крупных масштабах. Традиционный маркер брелока обеспечивает хороший уровень аутентификации, которая лучше, чем простые пароли, но им не удается аутентифицировать оба конца транзакции и если они не перенесены в достойный внешний слой, который гарантирует взаимную аутентификацию, полная система не устойчива. Используя такие маркеры по любой незащищенной сети без безопасной обертки просто просит среднее нападение Man-The. Активные маркеры типа USB \Смарт-карты делают намного лучшее задание этого, но их намного более трудно поддерживать - resetting\re-issuing\initial, настройка все намного больше работы, но для высоких ситуаций со значением они - намного лучшее решение.