Esto es lo que consideré al determinar qué tipo de 2FA utilizar. Una vez que determiné el tipo de solución, necesitaba identificar qué proveedores eran líderes en ese espacio. Tengo el documento de puntuación y todo eso si quieres:

CRITERIOS DE EVALUACIÓN ➢ Seguridad / Cumplimiento : debe ser una solución segura que cumpla con los estándares de seguridad, así como con los de nuestros clientes, especialmente las instituciones financieras y las agencias reguladoras, incluida la Unión Europea. ➢ Facilidad de uso para el usuario final : esta categoría evalúa la facilidad de uso para el usuario final, incluido lo que debe recordar, llevar consigo y si la solución es intuitiva o no. ➢ Administración del día a día : ¿cuánto esfuerzo hay para administrar la solución diariamente? Esto podría ser emitir la herramienta a los usuarios finales, reemplazar el hardware perdido, corregir errores, terminar usuarios y todas las otras tareas para administrar. ➢ Esfuerzo de implementación: ¿cuánto esfuerzo se requiere en términos de tiempo del personal administrativo, capacitación de usuarios, instalación de hardware / software, ajustes de configuración? ➢ Alternativas expeditivas si se pierden / rompen / olvidan : si la herramienta falla, se pierde o se rompe, ¿cuáles son las alternativas? ¿Están las alternativas integradas dentro de la solución o requiere eludir la seguridad de la herramienta? ¿Cuánto tiempo estará el usuario final esperando la alternativa segura? ➢ Durabilidad : ¿cuánto tiempo se puede esperar que dure la solución antes de reemplazarla o repararla? ➢ Aceptación : ¿Qué tan aceptada es esta solución? ¿Será una venta difícil para los clientes expertos en seguridad o se considerará un control de seguridad impresionante? ¿Se admitirá esta herramienta a largo plazo o existe la posibilidad de que finalmente sea superada por una tecnología más popular? ➢ Costo : esto es para el costo total de propiedad (TOC). El costo de implementación, soporte, reemplazos, actualizaciones y servicios, directamente relacionados con la herramienta, así como los costos ocultos, como el aumento de los requisitos del sistema o el tiempo extendido para que los usuarios finales se autentiquen.

Métodos de autenticación

¿Solo estás autentificando o también otras cosas? También es posible que necesite tarjetas inteligentes. ¿Está seguro de que solo necesita SMS o también debe elegir entre una gran variedad de tokens?

Token

Es posible que desee elegir una solución, que no es proporcionada por un proveedor de token. Lo que hay detrás de esto es: puede mantener el sistema de software pero puede mezclar y cambiar fácilmente los tokens (sin bloqueo del proveedor). En teoría, podrías hacer esto con todos los tokens OATH ... Pero sabes teoría y vida real.

Entorno soportado

¿Dónde instalar el sistema de autenticación? La otra pregunta es, ¿cuáles son las aplicaciones o sistemas operativos en los que desea autenticarse? API fácil? Proveedor de credenciales? ¿Módulo PAM?

VM soportadas

Ninguna solución debe restringirse de esta manera, ¡no se puede virtualizar!

Entrega fuera de banda

Podrías pensar que esto es lindo en este momento. Pero puedes darte cuenta en un año de que es una mierda total y insegura. También es posible que necesite ampliar los escenarios de uso. Por lo tanto, no solo busque fuera de banda, sino que también busque un sistema con el máximo soporte de token y extensibilidad.

Flexibilidad & Usabilidad

API API API. Puede ser fácilmente automatizado. P.ej. ¿Se puede integrar en su portal de clientes existentes? ¿Obtienes el código fuente? Es decir. puedes preguntar en el lugar ¿Para mejorarlo más rápido de lo que el proveedor respondería a una solicitud de función? ¿Puede seguir usándolo, cuando el proveedor exitoso se fusiona con un tiburón más grande y el producto anterior termina su vida útil? ¡Especialmente en Seguridad de TI, lo hemos visto a menudo durante los últimos años!