Según mi propia experiencia, la mayoría de las empresas que venden tokens de seguridad para la autenticación como RSA, Verisign o Aladdin comparten poco información sobre los aspectos internos de sus productos como algoritmos e infraestructura de back-end. ¿Cómo puedo comparar esas compañías y sus productos entre sí? ¿Cómo puedo tomar una decisión informada, qué producto cumple con mis requisitos y brinda la mejor seguridad?
¿Cómo puedo comparar esas empresas y sus productos entre sí?
Es bastante difícil. No vas a poder hacer una comparación de variable a variable. En casos como este, te sugiero que vayas por los efectos de segundo orden. ¿Quiénes son sus clientes y en qué medida sus necesidades de autenticación coinciden con las suyas? ¿Cómo tratan las empresas que ofrecen tokens problemas técnicos y no técnicos?
¿Cómo puedo tomar una decisión informada, qué producto cumple con mis requisitos y brinda la mejor seguridad?
Dependiendo de la forma en que se presentará su equipo de ventas, puede ser difícil. Intente comprender los riesgos que está mitigando con la autenticación de múltiples factores y las consecuencias de la falla. Consulte las compañías que ofrecen seguros en caso de incumplimiento y qué forma tomaría ese seguro. ¿Te ayudarán a detectar una brecha? ¿Qué pasa con la contención y la remediación? ¿Dónde se encuentran en la formación del usuario? ¿Te ayudarán a mantenerte al tanto de amenazas relevantes? Si no puede obtener detalles específicos de la tecnología, intente comprender los grandes beneficios y desventajas. La tecnología solo implementa la política de seguridad, asegúrese de que su tecnología implementará la política que usted desea.
Puede comparar las propiedades que hacen , pero estoy de acuerdo con usted en que es un problema difícil. Especialmente después de RSA fue pirateada el año pasado y dijeron que no influye en la seguridad de sus fichas, pero cuando después de eso Lockheed Martin fue hackeado resultó que la información robada en el hack RSA había sido utilizada para comprometer los tokens utilizados por Lockeed.
Sin embargo, hay algunas implementaciones abiertas de dichos tokens, como Yubikey . Puedes evaluar más de su implementación, todo el software es de código abierto. Además, puede crear su propia infraestructura de autenticación utilizando sus dispositivos.
+1 para código abierto. enlace .
Cualquier solución como RSA que utiliza secretos compartidos tiene el problema potencial de que hay más de dos copias del secreto. Esta es la razón por la cual el complemento pam del autenticador de Google no se escala bien. Cada servidor necesita un secreto por separado o los comparte entre servidores.
El cifrado asimétrico en el que se generan las claves en el dispositivo evita esta dependencia en un tercero. (Inserte aquí la analogía del 'enlace más débil').
Lea otras preguntas en las etiquetas multi-factor