¿Cuál es un buen método para autenticar usuarios y asegurarse de que no le den sus credenciales a otra persona?

Está buscando una solución técnica para un problema social. Eso por lo general no funciona. Si tiene una fuerza laboral deshonesta que está colaborando en contra de la compañía, siempre encontrarán una manera de engañar al sistema. La única solución real es solucionar los problemas de confianza entre su empresa y sus empleados.

Pero si realmente desea una solución técnica, es posible que desee invertir en un sistema de reloj perforado y colóquelo en un lugar fácilmente observable donde cualquier persona con dos tarjetas perforadas tendrá un alto riesgo de ser atrapado.

Creo que estás en el camino correcto al hablar de usar la autenticación de 2 factores, pero seguir la ruta biométrica puede ser demasiado costoso para ti.

Hay una serie de buenos sistemas que podría implementar utilizando el teléfono celular de un usuario o un llavero como segundo factor.

Authy de Twilio es bastante fácil de configurar, donde puedes hacer que Authy envíe un mensaje de texto con un código para personas cuando intentan iniciar sesión, y ese código se utiliza para autenticarse completamente.

Esto combina algo que una persona sabe (su contraseña), con algo que tiene (su teléfono celular).

También hay Google Authenticator y RSA SecureID , que funciona de manera similar mediante la creación de códigos basados en el tiempo que ingresa junto con su contraseña.

Ambos tienen aplicaciones que puedes ejecutar en un teléfono, pero también teclas independientes que puedes comprar para aquellos que no tienen un teléfono o que no quieren trabajo en sus teléfonos personales.

Incluso puede utilizar Google Authenticator como segundo factor para iniciar sesión en Windows con Rohos , pero parece que todas sus PC comparten un inicio de sesión común, y los trabajadores necesitan iniciar sesión en un segundo sistema, que es donde tendrá que agregar soporte para estos, probablemente con alguna programación personalizada.

Su problema no es el sistema de autenticación per se, ya que más es un problema ético y un problema de espacio de trabajo (incluso hay una Workplace SO Community para esto). En mi opinión, nada puede impedir que un usuario comparta sus credenciales de Timeclock con sus colegas, incluso si son únicos. Yo pondría en marcha un sistema de verificaciones aleatorias para ver si las horas que dedican son válidas o no, y esto combinado con un incentivo adecuado (leer multa monetaria) debería ser suficiente para que la masa crítica utilice correctamente los sistemas. Siempre tendrás valores atípicos que forzarán los límites de cualquier sistema, pero quieres aplicar el rol de Pareto - 80-20, lo que significa: haz que el 80% de ellos sigan las reglas.

Estoy de acuerdo con las otras respuestas en que está buscando una solución tecnológica para un problema de confianza humana. No encontrarás uno.

La biometría no resolverá el problema fundamental de los usuarios que intentan engañar al sistema. Por ejemplo, aquí hay una guía intructables.com para duplicar una huella digital por solo un dólar o dos en materiales. Se aplican trucos similares para el reconocimiento facial / escaneo del iris (aunque este último es más difícil, por el momento).

Si vas a seguir la ruta biométrica, realmente necesitas que un guardia de seguridad los observe con cuidado mientras pasa su huella dactilar para asegurarse de que no están haciendo trampa.

En ese momento, sería más barato tener las credenciales de identificación de los guardias de seguridad a la antigua usanza.