2 factor de autenticación: solución rentable para un inicio web [cerrado]

19

Mi banco local utiliza un autenticación de 2 factores donde los clientes ingresan la contraseña Y una vez. El PIN se entrega a través de SMS a un teléfono móvil O desde un dispositivo de token de seguridad.

Estoy haciendo un inicio web en el espacio de comercio electrónico.

Ya he implementado https para páginas importantes como inicio de sesión. He elegido una CA SSL rentable, digamos, que tiene las iniciales GD.

Esto puede ser en el futuro, pero ¿cuál es una solución rentable para mí para implementar una autenticación de 2 factores como mi banco local para mis usuarios?

¿Qué proveedor proporcionaría una solución rentable al igual que me acerqué a GD para mis certificados SSL?

    
pregunta Kim Stacks 27.02.2011 - 14:33
fuente

11 respuestas

15

Si está dispuesto a delegar su función de autenticación de usuario a otra persona, entonces la autenticación de dos factores de Google es una buena opción.

    
respondido por el Ben 15.05.2011 - 14:26
fuente
10

Recomendaría buscar en PhoneFacter . Los he visto en el pasado y me ha parecido un concepto muy interesante. Al igual que su banco, utilizan los teléfonos como segundo factor y ofrecen llamadas de voz directas o por SMS para su verificación.

Si son "rentables" dependerá, por supuesto, de lo que esas palabras significan para ti.

    
respondido por el Scott Pack 27.02.2011 - 21:16
fuente
9

Aunque no los he usado personalmente, he escuchado cosas muy buenas de varias fuentes sobre YubiKey , que es un pequeño hardware clave que se enchufa en el puerto USB de una computadora y, básicamente, proporciona una contraseña única que cambia cada vez que se usa.

    
respondido por el Knox 28.02.2011 - 14:07
fuente
9

Proporcionamos una solución de dos factores en Duo Security que puede usar tokens de voz, SMS, dispositivos móviles y hardware. Nuestro web y unix los clientes también pueden ayudarlo a evaluar sus opciones (tanto las nuestras como las de otros, y hacia su propia versión). Descargo de responsabilidad, soy un desarrollador Duo.

    
respondido por el Karl Anderson 26.04.2011 - 20:02
fuente
4

¿Puedo sugerir algo un poco menos estándar y considerar ir con la autenticación biométrica basada en software?
Estoy familiarizado con algunas nuevas empresas (ocultas) que trabajan en este espacio ... esto puede incluir elementos como la dinámica del teclado, el reconocimiento de huellas dactilares a través de una cámara web, otros ...

    
respondido por el AviD 27.02.2011 - 20:35
fuente
3

La vergüenza por mí, no conozco las cifras de costos, pero tal vez quiera probar el ex-VeriSign autenticación de dos factores basada en la nube . El sitio web afirma que es de bajo costo.

    
respondido por el Paweł Dyda 27.04.2011 - 21:05
fuente
3

Aunque no es una respuesta, la publicaré aquí. Espero que los sitios comunes de comercio electrónico NO empiecen a usar la autenticación de 2 factores como estándar. Siempre debe ser opcional para los usuarios, a menos que exista una gran responsabilidad (riesgo + costo inaceptable) apalancado contra su empresa. Los odio, y son terriblemente molestos cuando viajan. Ralentiza mi experiencia web mientras espero un mensaje de texto o correo electrónico y transcribo el código de un solo uso. Mi peor experiencia fue tratar de recibir un código de verificación de SMS mientras estaba en el extranjero y mi teléfono en roaming.

Aquí está mi sugerencia: use la verificación de direcciones de correo electrónico y HTTPS hasta que tenga tiempo + dinero para ir más allá. Luego, agréguelo como una opción, al igual que OpenID.

Incluso la autenticación de 2 factores basada en el número de teléfono se basa en la identificación del número de teléfono del usuario. Conozco a personas que prefieren darle una tarjeta de crédito para verificar su dirección en lugar de darle su número de teléfono a un sitio web aleatorio. Especialmente si estás en el espacio de comercio electrónico. Considere la verificación de identidad como un paso adicional para el registro en lugar de un paso adicional para iniciar sesión.

    
respondido por el Eric Falsken 15.05.2011 - 11:34
fuente
2

SMS nunca ha sido un canal de calidad asegurada, ya que funciona principalmente en el modo "disparar y olvidar", y la velocidad de entrega depende de muchos factores fuera del control del remitente. También debe mantener el número de teléfono del usuario actual y tener un procedimiento seguro para cambiarlo. Además, el costo de un SMS sigue siendo relativamente alto. No hice la prueba, no sé cuánto cuesta, pero la solución parece interesante, el problema, como con los SMS, que obliga a usar el teléfono móvil como requisito para usar su sitio. La solución: enlace

    
respondido por el VP. 05.07.2011 - 00:38
fuente
0

Apache TripleSec puede ser de interés, aunque no lo he probado, por lo que no estoy seguro de lo estable es.

    
respondido por el Bruno 15.05.2011 - 17:50
fuente
0

Como consultor para soluciones de autenticación y autorización, he analizado varios productos que utilizan OTP, Biometría y otros sistemas de respuesta de desafío. Me parece que Snorkel-TX de Odyssey Technologies Limited es una solución de seguridad integral y bien diseñada para aplicaciones web. Es rentable en comparación con muchas otras soluciones. Se puede implementar en muy poco tiempo sin ningún cambio de codificación en la aplicación web.

    
respondido por el user53105 02.08.2014 - 08:53
fuente
-1

Puedo recomendar LaunchKey , ya que proporcionan una verdadera autenticación del factor multi como servicio y su API y aplicaciones móviles son Todo gratis. También se debe tener en cuenta que la autenticación de múltiples factores combina los 3 posibles tipos de factores de autenticación (conocimiento, posesión, inherencia) y se considera más segura que la de dos factores, que solo utilizaría 2 de los 3. Desde una perspectiva de seguridad, debe buscar una AMF en lugar de 2FA.

    
respondido por el inf0sec 15.01.2014 - 22:00
fuente

Lea otras preguntas en las etiquetas