Autenticazione a 2 fattori: soluzione economicamente vantaggiosa per un avvio web [chiuso]

Naviga le tue risposte
19

La mia banca locale utilizza un autenticazione a 2 fattori dove i clienti inseriscono la password E una volta PIN recapitato tramite SMS al telefono cellulare O da un dispositivo di sicurezza token.

Sto facendo una startup web nello spazio e-commerce.

Ho già implementato https per pagine importanti come l'accesso. Ho scelto una CA SSL economica che ha le iniziali GD.

Questo potrebbe essere in futuro, ma quale è una soluzione economica per me per implementare l'autenticazione 2 fattori come la mia banca locale per i miei utenti?

Quale fornitore fornirebbe una soluzione economica come se mi fossi avvicinato a GD per i miei certificati SSL?

    
posta Kim Stacks 27.02.2011 - 13:33
fonte

11 risposte

15

Se sei disposto a delegare la funzione di autenticazione dell'utente a qualcun altro, quindi L'autenticazione a due fattori di Google è una buona opzione.

    
risposta data 15.05.2011 - 12:26
fonte
10

Suggerirei di consultare PhoneFacter . Li ho guardati in passato e ho trovato che fosse un concetto molto interessante. Proprio come la tua banca usano i telefoni come secondo fattore, e offrono sia SMS che chiamate vocali dirette per la verifica.

Che siano "redditizi", ovviamente, dipenderanno da ciò che queste parole significano per te.

    
risposta data 27.02.2011 - 20:16
fonte
9

Sebbene non li abbia mai usati personalmente, ho sentito cose molto buone da diverse fonti su YubiKey , che è un minuscolo hardware chiave che è collegata a una porta USB del computer e in pratica fornisce una password unica che cambia ogni volta che viene utilizzata.

    
risposta data 28.02.2011 - 13:07
fonte
9

Offriamo una soluzione a due fattori su Duo Security che può utilizzare i token voce, SMS, dispositivo mobile e hardware. Il nostro web open-source e unix i clienti possono anche aiutarti a valutare le tue opzioni (sia la nostra che quella degli altri e verso il tuo). Disclaimer, sono uno sviluppatore Duo.

    
risposta data 26.04.2011 - 18:02
fonte
4

Posso suggerire qualcosa di meno standard e prendere in considerazione l'idea di utilizzare l'autenticazione biometrica basata sul software?
Conosco alcune startup (stealth) che lavorano in questo spazio ... questo può includere cose come le dinamiche della tastiera, il riconoscimento delle impronte digitali tramite webcam, altri ...

    
risposta data 27.02.2011 - 19:35
fonte
3

La vergogna per me, non conosco i costi ma forse vuoi provare ex-VeriSign autenticazione a due fattori basata su cloud . Il sito web afferma che è a basso costo.

    
risposta data 27.04.2011 - 19:05
fonte
3

Sebbene non sia una risposta, la posterò qui. Spero davvero che i comuni siti di e-commerce di tutti i giorni NON inizino a utilizzare l'autenticazione a 2 fattori come standard. Dovrebbe essere sempre facoltativo per gli utenti, a meno che non vi sia una grossa responsabilità (rischio e costo inaccettabile) a vantaggio della tua azienda. Li odio, e sono orribilmente fastidiosi quando si viaggia. Rallenta la mia esperienza web mentre aspetto un messaggio di testo o un'email e trascrivo il codice monouso. La mia peggiore esperienza è stata quella di provare a ricevere un codice di verifica SMS mentre ero all'estero e il mio telefono in roaming.

Ecco il mio suggerimento: usa la verifica degli indirizzi e-mail e HTTPS finché non hai tempo + denaro per andare oltre. Quindi aggiungilo come opzione, proprio come OpenID.

Anche l'autenticazione a 2 fattori basata sul numero di telefono si basa sull'individuazione del numero di telefono dell'utente. Conosco persone che preferiscono darti una carta di credito per verificare il loro indirizzo piuttosto che fornire il loro numero di telefono a un sito Web casuale. Soprattutto se sei nello spazio e-commerce. Considera la verifica dell'identità come un ulteriore passaggio alla registrazione piuttosto che un ulteriore passaggio per accedere.

    
risposta data 15.05.2011 - 09:34
fonte
2

SMS non è mai stato un canale di qualità garantita poiché funziona principalmente in modalità "ignora e dimentica", con una velocità di consegna che dipende da molti fattori al di fuori del controllo del mittente. Inoltre devi mantenere il numero di telefono dell'utente corrente e avere una procedura sicura per cambiarlo. Inoltre, il costo di un SMS è ancora relativamente alto. Non ho provato, non so quanto costa, ma la soluzione sembra interessante, il problema, come con gli SMS, è che costringi il telefono cellulare come requisito per usare il tuo sito. la soluzione: link

    
risposta data 04.07.2011 - 22:38
fonte
0

Apache TripleSec potrebbe essere interessante, anche se non l'ho provato, quindi non sono sicuro di quanto sia stabile è.

    
risposta data 15.05.2011 - 15:50
fonte
0

In qualità di consulente per le soluzioni di autenticazione e autorizzazione, ho esaminato diversi prodotti che utilizzano OTP, Biometrics e altri sistemi di risposta alle sfide. Trovo Snorkel-TX di Odyssey Technologies Limited, una soluzione di sicurezza completa e ben progettata per applicazioni Web. È conveniente rispetto a molte altre soluzioni. Può essere implementato in un tempo molto breve senza modifiche di codifica all'applicazione web.

    
risposta data 02.08.2014 - 06:53
fonte
-1

Potrei consigliare LaunchKey in quanto forniscono un'autentica autenticazione multi come servizio e le relative API e app mobili sono tutto gratis. Va inoltre notato che l'autenticazione a più fattori combina tutti i 3 possibili tipi di fattori di autenticazione (conoscenza, possesso, inerenza) ed è considerata più sicura rispetto a due fattori che utilizzerebbero solo 2 dei 3. Da una prospettiva di sicurezza, dovresti perseguire MFA piuttosto che 2FA.

    
risposta data 15.01.2014 - 21:00
fonte

Leggi altre domande sui tag

E 'possibile trovare un buffer overflow in WordPress? Alcune porte TCP non comuni sono scansionate meno di altre?