哪种多因素访问令牌最适合在企业网络中使用?

哪种多因素访问令牌最适合在企业网络中使用?

我有兴趣探索在 Active Directory 网络上启用多因素域身份验证的所有选项。我不会排除任何技术,但我确实更喜欢简单的实现而不是复杂的配置。指纹读取器将是理想的选择,因为最终用户通常能够快速掌握不丢失手指的方法。小型硬件令牌也可以使用,例如智能卡、USB 令牌等...

答案1

我个人会避免使用指纹读取器,因为它们并不像你想象的那么可靠 - 玻璃会弄脏,用户会割伤手指等。它们也可以被一只小熊软糖

目前的标准似乎是智能卡或某种带有随机数的令牌 - RSA 是最著名的。就我个人而言,我偏爱令牌,因为我可以将它们挂在钥匙链上,而不必担心另一张卡。我会从RSA因为他们的品牌最响亮,而且最有可能融入到您的所有系统中。

答案2

我和ActivIdentity 4Tres AAA解决方案并将其用于 Citrix 远程访问。它允许使用常见的 PIN 输入遥控器/卡、这种单按钮信用卡大小的生成器以及 SMPP 短信。由于令牌可能很昂贵,因此可能需要使用 SMPP 短信将一次性密码传送到在 Active Directory 用户中注册的手机。

答案3

电话因素. 在员工拥有手机、黑莓手机的环境中尤其有效。

答案4

我也是一次性密码类型令牌(如 RSA 的 SecurID)的粉丝,因为它们基本上非常简单,并且通常易于大规模管理。传统的密钥卡令牌提供了比普通旧密码更好的良好身份验证级别,但它们无法对交易的两端进行身份验证,除非将它们包裹在一个合适的外层中以确保相互身份验证,否则整个系统并不健壮。在没有安全包装的情况下在任何不安全的网络上使用此类令牌只会引发中间人攻击。主动 USB 类型令牌 \ 智能卡在这方面做得更好,但它们更难支持 - 重置\重新发行\初始配置都需要更多的工作,但对于高价值情况,它们是更好的解决方案。

相关内容