Metodi di amministrazione remota

La buona notizia è che due fattori possono essere gratuiti. L'autenticatore di Google è gratuito e combinato con FreeRadius dovrebbe funzionare con qualsiasi dispositivo di accesso.

Non è di fantasia o sicuro come RSA o alcuni degli altri, ma è abbastanza semplice da implementare e soddisfa un secondo fattore per nome utente e password.

Da quello che posso dire sembra essere basato sul certificato, dal momento che non ha bisogno di un server con cui parlare sul lato dell'autenticazione, solo un tempo preciso. Non ha la protezione extra di RSA per indovinare OTP o pin, ma alcuni di questi possono essere ottenuti con il rilevamento di intrusi sul dispositivo che utilizza l'autenticazione.

Una cosa da tenere d'occhio, se usi il tuo telefono per accedere ai server e per accedere all'OTP per GA, non credo che sia considerato un secondo fattore da una prospettiva NIST, poiché la cosa che dovresti separare da il dispositivo da cui si effettua l'accesso, a meno che non ci sia un percorso fidato definito.

Se il denaro è un problema, vale la pena dare un'occhiata:)

Google Authenticator necessita di un sistema remoto per convalidare il valore otp inserito. Questo potrebbe essere un sito remoto, un server o, nel caso più semplice, è il pam-google-authenticator, che memorizza la chiave segreta nella home directory dell'utente.

Puoi avere OTP gratuitamente e come open source. Dai un'occhiata a privacyidea . Funziona come un back-end, può assegnare diversi tipi di dispositivi di autenticazione agli utenti da alcune fonti utente. Puoi caricare token hardware, app per smartphone (google authenticator), e-mail o sms per gli utenti. Poiché ciascun utente può avere un tipo diverso, è possibile decidere quale utente ottiene il livello di sicurezza. Puoi combinare token hardware e app per smartphone ecc ...