user13846 Asked: 2009-07-24 09:42:50 +0800 CST2009-07-24 09:42:50 +0800 CST 2009-07-24 09:42:50 +0800 CST 哪种多因素访问令牌最适合在企业网络中使用? 772 我有兴趣探索在 Active Directory 网络上启用多因素域身份验证的所有选项。我从这个问题中不排除任何技术,但是我更喜欢更简单的实现而不是复杂的配置。指纹读取器将是理想的选择,因为最终用户通常不会丢失手指。小型硬令牌也可以使用,例如智能卡、USB 令牌等…… security active-directory token 5 个回答 Voted Best Answer Zypher 2009-07-24T09:50:52+08:002009-07-24T09:50:52+08:00 就我个人而言,我会避免使用指纹读取器,它们不像您想象的那么可靠——玻璃会弄脏,用户会割伤手指等等。它们也可能被小熊软糖打败。 现在的标准似乎是智能卡或某种带有随机数的令牌 - RSA 是最大的名字。就我个人而言,我偏爱代币,因为我可以将它们挂在我的钥匙链上,而不必担心另一张卡。我将从RSA开始,因为它们是最知名的,并且最有可能集成到您的所有系统中。 spoulson 2009-07-24T09:53:29+08:002009-07-24T09:53:29+08:00 我对ActivIdentity 4Tres AAA解决方案进行了一些研究,并将其用于 Citrix 远程访问。它允许使用通常的 PIN 输入密钥卡/卡、这个单按钮信用卡大小的生成器,以及 SMPP 文本消息。由于令牌可能很昂贵,因此可能需要使用 SMPP 消息传递将一次性密码传送到向 Active Directory 用户注册的手机。 shufler 2009-07-24T10:40:59+08:002009-07-24T10:40:59+08:00 电话因素。在员工有手机、黑莓的环境中效果特别好。 pcapademic 2009-07-24T10:57:22+08:002009-07-24T10:57:22+08:00 作为最终用户,我发现 Yubikey ( http://www.yubico.com/products/yubikey/ ) 比 RSA SecurID ( http://www.rsa.com/node.aspx?id= ) 更容易使用1156 )。 最终用户体验并不是唯一的考虑因素,正如其他人所指出的,有一个支持 SecurID 的产品生态系统。然而,从安全人员的 IT 栅栏来看,SecurID 似乎从来都不是特别容易管理的。 至于“你是什么”组件,目前广泛使用的指纹读取器集似乎并不像 CSO 所要求的那样安全地实施。 Helvick 2009-07-24T10:31:10+08:002009-07-24T10:31:10+08:00 我也是一次性密码类型令牌(如 RSA 的 SecurID)的粉丝,因为它们基本上非常简单,并且通常易于大规模管理。传统的密钥卡令牌提供了比普通旧密码更好的身份验证级别,但它们无法验证交易的两端,除非它们被包裹在一个体面的外层中以确保相互身份验证,否则整个系统并不健壮. 在没有安全包装器的任何不安全网络上使用此类令牌只是要求进行中间人攻击。主动 USB 类型令牌\智能卡在这方面做得更好,但它们更难支持 - 重置\重新发行\初始配置都需要更多工作,但对于高价值情况,它们是更好的解决方案。
就我个人而言,我会避免使用指纹读取器,它们不像您想象的那么可靠——玻璃会弄脏,用户会割伤手指等等。它们也可能被小熊软糖打败。
现在的标准似乎是智能卡或某种带有随机数的令牌 - RSA 是最大的名字。就我个人而言,我偏爱代币,因为我可以将它们挂在我的钥匙链上,而不必担心另一张卡。我将从RSA开始,因为它们是最知名的,并且最有可能集成到您的所有系统中。
我对ActivIdentity 4Tres AAA解决方案进行了一些研究,并将其用于 Citrix 远程访问。它允许使用通常的 PIN 输入密钥卡/卡、这个单按钮信用卡大小的生成器,以及 SMPP 文本消息。由于令牌可能很昂贵,因此可能需要使用 SMPP 消息传递将一次性密码传送到向 Active Directory 用户注册的手机。
电话因素。在员工有手机、黑莓的环境中效果特别好。
作为最终用户,我发现 Yubikey ( http://www.yubico.com/products/yubikey/ ) 比 RSA SecurID ( http://www.rsa.com/node.aspx?id= ) 更容易使用1156 )。
最终用户体验并不是唯一的考虑因素,正如其他人所指出的,有一个支持 SecurID 的产品生态系统。然而,从安全人员的 IT 栅栏来看,SecurID 似乎从来都不是特别容易管理的。
至于“你是什么”组件,目前广泛使用的指纹读取器集似乎并不像 CSO 所要求的那样安全地实施。
我也是一次性密码类型令牌(如 RSA 的 SecurID)的粉丝,因为它们基本上非常简单,并且通常易于大规模管理。传统的密钥卡令牌提供了比普通旧密码更好的身份验证级别,但它们无法验证交易的两端,除非它们被包裹在一个体面的外层中以确保相互身份验证,否则整个系统并不健壮. 在没有安全包装器的任何不安全网络上使用此类令牌只是要求进行中间人攻击。主动 USB 类型令牌\智能卡在这方面做得更好,但它们更难支持 - 重置\重新发行\初始配置都需要更多工作,但对于高价值情况,它们是更好的解决方案。