Come valutare diverse soluzioni per i token di sicurezza?

4

Secondo la mia esperienza, la maggior parte delle aziende che vendono token di sicurezza per l'autenticazione come RSA, Verisign o Aladdin condividono poco informazioni sugli interni dei loro prodotti come algoritmi e infrastrutture di back-end. Come posso confrontare tra loro quelle società e i loro prodotti? Come posso prendere una decisione istruita, quale prodotto soddisfa le mie esigenze e fornisce la migliore sicurezza?

    
posta Demento 05.10.2011 - 12:53
fonte

3 risposte

5

How can I compare those companies and their products to each other?

È piuttosto difficile. Non sarai in grado di fare un confronto variabile con le variabili. In casi come questo ti suggerisco di fare gli effetti del secondo ordine. Chi sono i loro clienti e quanto devono soddisfare le loro esigenze di autenticazione? In che modo le aziende che offrono token gestiscono problemi tecnici e non tecnici?

How can I make an educated decision, which product fits my requirements and provides the best security?

A seconda della futura volontà del team di vendita, potrebbe essere difficile. Cerca di comprendere i rischi che stai mitigando con l'autenticazione a più fattori e le conseguenze del fallimento. Vedi delle compagnie offrono assicurazione in caso di fallimento e quale forma che l'assicurazione avrebbe preso. Ti aiuteranno a rilevare una violazione? Che dire di contenimento e bonifica? Dove stanno gli utenti della formazione? Ti aiuteranno a mantenerti aggiornato su minacce pertinenti? Se non riesci a capire le specifiche della tecnologia, cerca di capire i maggiori vantaggi e svantaggi. La tecnologia implementa solo la politica di sicurezza, assicurarsi che la loro tecnologia implementerà la politica che desideri.

    
risposta data 06.10.2011 - 09:30
fonte
2

Puoi confrontare le proprietà che fanno pubblicare, ma sono d'accordo con te sul fatto che si tratta di un problema difficile. Soprattutto dopo RSA è stato violato l'anno scorso e hanno detto che non avrebbe influenza la sicurezza dei loro token, ma quando successivamente Lockheed Martin è stato violato si è scoperto che le informazioni rubate al hack RSA erano state usate per compromettere i token usati da Lockeed.

Tuttavia esistono alcune implementazioni aperte di tali token, come Yubikey . Puoi valutare più della loro implementazione, tutto il software è open source. Inoltre, puoi costruire la tua infrastruttura di autenticazione usando i loro dispositivi.

    
risposta data 05.10.2011 - 14:30
fonte
0

+1 per open-source. link .

Qualsiasi soluzione come RSA che utilizza segreti condivisi ha il potenziale problema che ci sono più di due copie del segreto. Questo è il motivo per cui il plug-in di Google Authenticator non si adatta bene. Ogni server ha bisogno di un segreto separato o lo si condivide su tutti i server.

Crittografia asimmetrica in cui le chiavi sono generate sul dispositivo evita questo affidamento su una terza parte. (Inserisci l'analogia 'link più debole' qui.)

    
risposta data 22.10.2014 - 15:27
fonte

Leggi altre domande sui tag