2 factor de autenticación: solución rentable para un inicio web [cerrado]

Si está dispuesto a delegar su función de autenticación de usuario a otra persona, entonces la autenticación de dos factores de Google es una buena opción.

Recomendaría buscar en PhoneFacter . Los he visto en el pasado y me ha parecido un concepto muy interesante. Al igual que su banco, utilizan los teléfonos como segundo factor y ofrecen llamadas de voz directas o por SMS para su verificación.

Si son "rentables" dependerá, por supuesto, de lo que esas palabras significan para ti.

Aunque no los he usado personalmente, he escuchado cosas muy buenas de varias fuentes sobre YubiKey , que es un pequeño hardware clave que se enchufa en el puerto USB de una computadora y, básicamente, proporciona una contraseña única que cambia cada vez que se usa.

Proporcionamos una solución de dos factores en Duo Security que puede usar tokens de voz, SMS, dispositivos móviles y hardware. Nuestro web y unix los clientes también pueden ayudarlo a evaluar sus opciones (tanto las nuestras como las de otros, y hacia su propia versión). Descargo de responsabilidad, soy un desarrollador Duo.

¿Puedo sugerir algo un poco menos estándar y considerar ir con la autenticación biométrica basada en software?
Estoy familiarizado con algunas nuevas empresas (ocultas) que trabajan en este espacio ... esto puede incluir elementos como la dinámica del teclado, el reconocimiento de huellas dactilares a través de una cámara web, otros ...

La vergüenza por mí, no conozco las cifras de costos, pero tal vez quiera probar el ex-VeriSign autenticación de dos factores basada en la nube . El sitio web afirma que es de bajo costo.

Aunque no es una respuesta, la publicaré aquí. Espero que los sitios comunes de comercio electrónico NO empiecen a usar la autenticación de 2 factores como estándar. Siempre debe ser opcional para los usuarios, a menos que exista una gran responsabilidad (riesgo + costo inaceptable) apalancado contra su empresa. Los odio, y son terriblemente molestos cuando viajan. Ralentiza mi experiencia web mientras espero un mensaje de texto o correo electrónico y transcribo el código de un solo uso. Mi peor experiencia fue tratar de recibir un código de verificación de SMS mientras estaba en el extranjero y mi teléfono en roaming.

Aquí está mi sugerencia: use la verificación de direcciones de correo electrónico y HTTPS hasta que tenga tiempo + dinero para ir más allá. Luego, agréguelo como una opción, al igual que OpenID.

Incluso la autenticación de 2 factores basada en el número de teléfono se basa en la identificación del número de teléfono del usuario. Conozco a personas que prefieren darle una tarjeta de crédito para verificar su dirección en lugar de darle su número de teléfono a un sitio web aleatorio. Especialmente si estás en el espacio de comercio electrónico. Considere la verificación de identidad como un paso adicional para el registro en lugar de un paso adicional para iniciar sesión.

SMS nunca ha sido un canal de calidad asegurada, ya que funciona principalmente en el modo "disparar y olvidar", y la velocidad de entrega depende de muchos factores fuera del control del remitente. También debe mantener el número de teléfono del usuario actual y tener un procedimiento seguro para cambiarlo. Además, el costo de un SMS sigue siendo relativamente alto. No hice la prueba, no sé cuánto cuesta, pero la solución parece interesante, el problema, como con los SMS, que obliga a usar el teléfono móvil como requisito para usar su sitio. La solución: enlace

Apache TripleSec puede ser de interés, aunque no lo he probado, por lo que no estoy seguro de lo estable es.

Como consultor para soluciones de autenticación y autorización, he analizado varios productos que utilizan OTP, Biometría y otros sistemas de respuesta de desafío. Me parece que Snorkel-TX de Odyssey Technologies Limited es una solución de seguridad integral y bien diseñada para aplicaciones web. Es rentable en comparación con muchas otras soluciones. Se puede implementar en muy poco tiempo sin ningún cambio de codificación en la aplicación web.

Puedo recomendar LaunchKey , ya que proporcionan una verdadera autenticación del factor multi como servicio y su API y aplicaciones móviles son Todo gratis. También se debe tener en cuenta que la autenticación de múltiples factores combina los 3 posibles tipos de factores de autenticación (conocimiento, posesión, inherencia) y se considera más segura que la de dos factores, que solo utilizaría 2 de los 3. Desde una perspectiva de seguridad, debe buscar una AMF en lugar de 2FA.