我有兴趣探索在Active Directorynetworking上启用多因素域身份validation的所有选项。 我没有从这个问题中排除技术,但我更喜欢简单的实现来详细configuration。 指纹读取器是理想的,因为最终用户通常不会失去手指速度。 小硬币也可以工作,如智能卡,USB令牌等。
就我个人而言,我会避免使用指纹读取器,它们并不像您想象的那样可靠 – 玻璃上有污迹,使用者会割伤他们的眼睛等等。同样,它们也可能被小熊熊打败。
目前的标准似乎是智能卡或某种具有随机数的令牌–RSA是最大的名字。 就我个人而言,我偏爱令牌,因为我可以把它们挂到我的钥匙链上,而不必担心另一张卡。 我将从RSA开始,因为它们是最大的名字,并且将最有可能集成到所有的系统中。
我使用了ActivIdentity 4Tres AAA解决scheme,并将其用于Citrix远程访问。 它允许使用通常的PINinput卡/卡,这个单一button信用卡大小的发生器,以及SMPP文本消息。 由于令牌价格昂贵,因此可能需要使用SMPP消息传送一次性密码给注册到Active Directory用户的手机。
电话因素 。 在员工有手机,黑莓的环境中工作得特别好。
作为最终用户,我发现Yubikey( http://www.yubico.com/products/yubikey/ )比RSA SecurID( http://www.rsa.com/node.aspx?id= )更容易使用1156 )。
最终用户体验不是唯一的考虑因素,正如其他人所指出的那样,有一个支持SecurID的产品生态系统。 然而,看着安全人员的IT围栏,SecurID似乎从未如此容易pipe理。
至于“你是什么”的组成部分,似乎目前广泛使用的指纹读取器可能不如CSO所要求的安全。
我也是一个像RSA的SecurID一次性密码types令牌的粉丝,因为它们基本上非常简单,并且通常易于在大规模上pipe理。 传统的key-fob令牌提供了比普通旧密码更好的authentication级别,但是它们未能authentication交易的两端,除非它们被包裹在一个体面的外层中,以确保相互authentication,整个系统不是健壮的。 在没有安全包装的情况下,在任何不安全的networking上使用这种令牌只是要求一个Man-In-The中间人攻击。 主动USB型令牌\智能卡做得好得多,但它们更难以支持 – 重置,重新发行\初始configuration都是更多的工作,但对于高价值的情况下,它们是更好的解决scheme。