0

我的公司一直在探索为我们的网站实施 2FA。在查看了几个产品和 2FA wiki 页面后,似乎虚拟令牌是最便宜的解决方案,据说可以满足我的要求,即:

  1. 不是硬件令牌(所以没有 yubikey、securid 等),但这是由于成本限制
  2. 客户端无需安装任何软件,如 Java Applet、ActiveX 插件、exe 可在桌面上运行
  3. 很可能不能使用“网格”(可能不符合 508)
  4. 不需要用户有电话(排除 google auth 和许多其他基于移动的解决方案)
  5. 非生物识别(因为它很可能需要安装硬件或软件)
  6. 如果我们必须违反 1),它必须易于部署且成本低廉(我们的用户列表不断变化 [按项目] 并且位于非常不同的位置)

我看过一些“虚拟令牌”,包括“Sestus”,但我看不出这些是“真实的”2fa。它不需要安装任何软件,完全基于浏览器。2fa 基于可通过浏览器获取的信息,例如用户代理,这似乎很容易被欺骗。

我在这里发现了一个类似的问题:软件令牌是多因素安全性中有效的第二个因素吗?但它已经超过 2 岁了。

在这一点上,使用 yubikeys 是最可行和最具成本效益的解决方案吗?

4

1 回答 1

0

Sestus 的 Virtual Token(R) 解决方案是一种真正的多因素身份验证方法。它被 FFIEC、HIPPA、CJIS 和 PCI 监管公司使用,包括美国财政部。Virtual Token(r) MFA 确实在用户的设备上放置了一些东西,一个数学键。它使用用户已经拥有的软件(他们的浏览器)来实现这一点。因此,不必为用户部署新软件。

于 2013-02-21T15:49:38.977 回答