Secondo la mia esperienza, la maggior parte delle aziende che vendono token di sicurezza per l'autenticazione come RSA, Verisign o Aladdin condividono poco informazioni sugli interni dei loro prodotti come algoritmi e infrastrutture di back-end. Come posso confrontare tra loro quelle società e i loro prodotti? Come posso prendere una decisione istruita, quale prodotto soddisfa le mie esigenze e fornisce la migliore sicurezza?
How can I compare those companies and their products to each other?
È piuttosto difficile. Non sarai in grado di fare un confronto variabile con le variabili. In casi come questo ti suggerisco di fare gli effetti del secondo ordine. Chi sono i loro clienti e quanto devono soddisfare le loro esigenze di autenticazione? In che modo le aziende che offrono token gestiscono problemi tecnici e non tecnici?
How can I make an educated decision, which product fits my requirements and provides the best security?
A seconda della futura volontà del team di vendita, potrebbe essere difficile. Cerca di comprendere i rischi che stai mitigando con l'autenticazione a più fattori e le conseguenze del fallimento. Vedi delle compagnie offrono assicurazione in caso di fallimento e quale forma che l'assicurazione avrebbe preso. Ti aiuteranno a rilevare una violazione? Che dire di contenimento e bonifica? Dove stanno gli utenti della formazione? Ti aiuteranno a mantenerti aggiornato su minacce pertinenti? Se non riesci a capire le specifiche della tecnologia, cerca di capire i maggiori vantaggi e svantaggi. La tecnologia implementa solo la politica di sicurezza, assicurarsi che la loro tecnologia implementerà la politica che desideri.
Puoi confrontare le proprietà che fanno pubblicare, ma sono d'accordo con te sul fatto che si tratta di un problema difficile. Soprattutto dopo RSA è stato violato l'anno scorso e hanno detto che non avrebbe influenza la sicurezza dei loro token, ma quando successivamente Lockheed Martin è stato violato si è scoperto che le informazioni rubate al hack RSA erano state usate per compromettere i token usati da Lockeed.
Tuttavia esistono alcune implementazioni aperte di tali token, come Yubikey . Puoi valutare più della loro implementazione, tutto il software è open source. Inoltre, puoi costruire la tua infrastruttura di autenticazione usando i loro dispositivi.
+1 per open-source. link .
Qualsiasi soluzione come RSA che utilizza segreti condivisi ha il potenziale problema che ci sono più di due copie del segreto. Questo è il motivo per cui il plug-in di Google Authenticator non si adatta bene. Ogni server ha bisogno di un segreto separato o lo si condivide su tutti i server.
Crittografia asimmetrica in cui le chiavi sono generate sul dispositivo evita questo affidamento su una terza parte. (Inserisci l'analogia 'link più debole' qui.)
Leggi altre domande sui tag multi-factor