Questo è ciò che ho preso in considerazione per determinare il tipo di 2FA da utilizzare. Una volta determinato il tipo di soluzione, ho dovuto identificare quali venditori erano leader in quello spazio. Ho il documento di valutazione e tutto il resto se lo desideri:

CRITERI DI VALUTAZIONE ➢ Sicurezza / Conformità - Deve essere una soluzione sicura che soddisfi gli standard di sicurezza e quelli dei nostri clienti, in particolare istituzioni finanziarie e agenzie di regolamentazione, inclusa l'Unione Europea. ➢ Facilità d'uso per l'utente finale : questa categoria valuta la facilità d'uso per l'utente finale, compresi ciò che devono ricordare, portare con sé e se la soluzione è intuitiva o meno. ➢ Amministrazione corrente : quanto sforzo è necessario per amministrare la soluzione giorno per giorno? Questo potrebbe essere lo strumento per gli utenti finali, la sostituzione dell'hardware perso, la risoluzione dei bug, la chiusura degli utenti e tutte le altre attività per la gestione di. ➢ Sforzo di implementazione - Quanto impegno in termini di tempo del personale amministrativo, formazione degli utenti, installazione di hardware / software, impostazioni di configurazione è richiesto? ➢ Alternative opportune se perduto / rotto / dimenticato - Se lo strumento fallisce, viene perso o rotto, quali sono le alternative. Le alternative sono integrate nella soluzione o richiede l'elusione della sicurezza dello strumento? Per quanto tempo l'utente finale sarà in attesa di un'alternativa sicura? ➢ Durata : quanto può durare la soluzione prima della sostituzione o della riparazione? ➢ Accettazione - Quanto è accettata questa soluzione? Sarà una vendita difficile per i client di sicurezza o sarà considerato un controllo di sicurezza impressionante? Questo strumento sarà supportato a lungo termine o c'è la possibilità che alla fine venga superato da una tecnologia più diffusa ➢ Costo : si tratta del costo totale di proprietà (TOC). Costo di implementazione, supporto, sostituzioni, aggiornamenti e servizi, direttamente correlato allo strumento e costi nascosti quali maggiori requisiti di sistema o tempi prolungati per l'autenticazione da parte degli utenti finali.

Metodi di autenticazione

Stai solo autenticando o anche altre cose? Potresti anche aver bisogno di smartcard. Sei sicuro di aver bisogno solo di SMS o hai anche bisogno di scegliere tra una vasta gamma di token?

Token

Potresti voler scegliere una soluzione, che non è fornita da un fornitore di token. La cosa dietro questo è: è possibile mantenere il sistema software, ma facilmente mescolare e passare token (nessun blocco del fornitore). In teoria puoi farlo con tutti i token OATH ... Ma conosci la teoria e la vita reale.

Ambiente supportato

Dove installare il sistema di autenticazione? L'altra domanda è: quali sono le applicazioni o i sistemi operativi in cui si desidera autenticarsi. API facile? Fornitore di credenziali? Modulo PAM?

VM supportate

Nessuna soluzione dovrebbe essere limitata in questo modo, che non può essere virtualizzata!

Consegna fuori banda

Potresti pensare che questo sia carino al momento. Ma potresti rendertene conto in un anno, che è una schifezza totale e non sicura. Potrebbe inoltre essere necessario estendere gli scenari di utilizzo. Quindi non solo cercare out of band, ma anche cercare un sistema con il massimo supporto token ed estensibality.

Flessibilità e amp; Usabilità

API API API. Può essere facilmente automatizzato. Per esempio. Può essere integrato nel tuo attuale portale clienti? Ottieni il codice sorgente? Cioè puoi chiedere s.o. per migliorarlo più rapidamente rispetto a quanto il fornitore risponderebbe a una richiesta di funzionalità? Potete ancora usarlo, quando il venditore di successo si è fuso con uno squalo più grande e il vecchio prodotto è finito alla fine della sua vita? Soprattutto nell'ambito della sicurezza informatica, lo abbiamo visto spesso negli ultimi anni!