供应商认证综述:好的、坏的和难看的

以前的 123.45 第4页 下一个

例如，如果终端用户在不同的设备或操作系统之间切换，而这些设备或操作系统与他们已建立的模式不一致，或者用户从另一个国家的新地点登录，那么您可以为这些终端用户分配更高的风险。当风险评分超过特定阈值时，用户登录可能被阻止。该软件在VIP管理器和企业网关中都有设置选项。

如果可以插入赛门铁克的特殊JavaScript代码，还可以在SaaS应用程序中启用基于风险的身份验证。对于这个过程，用户界面和说明可以变得更简单，但这是产品的一部分，应该在您的评估中考虑到这一点。其他供应商，如Vasco，将其基于风险的身份验证作为独立产品出售。

该产品有一个证书软件开发工具包，使嵌入VIP证书移动应用程序更容易。但是，这对任何客户都不可用，只对赛门铁克认为有价值的客户可用，因为它不是很容易完成的，而且需要大量的支持服务才能创建有用的应用程序。

除此之外，VIP已经通过SAML和SOAP支持了100多个应用程序。

VIP最大的优势之一是它支持广泛的硬件令牌，手机软令牌,短信和基于语音的验证、推送OTP、指纹验证(iphone和ipad都可以使用)，苹果手表也有一个应用程序。超过700台设备可以运行各种形式的VIP认证软件，这表明赛门铁克在这个市场上已经存在了多久。软令牌可以直接从网页下载。支持的版本包括至少iOS v7, Android v4和Windows Phone v8。

在线帮助相当粗略，只有基本的入门指导和最小的上下文相关帮助。您将发现，您需要下载几本手册来完成整个安装过程。只有不到12个报告可用，包括事务历史记录和登录安全挑战。同样，管理控制台这一部分的用户界面需要做一些工作。

定价相对简单。首先，有一个2000美元的帐户设置费。对于三年的订阅(包括黄金级24/7支持、MFA和基于风险的身份验证、SAML支持、Enterprise Gateway、无限的移动或桌面凭证)，每个用户每年的费用为55美元。这是一个60天的免费试用，不包括任何短信或语音凭证(这是根据使用情况而额外收费的选项)，但这些都可以在你转换成付费帐户后激活。批量折扣是可行的。整体各种服务和移动版本的系统需求可以在这里找到．

TextPower SnapID v1.1:创新的方法

TextPower的工作方式与大多数MFA工具相反:在登录时，您将在web浏览器屏幕上显示OTP代码和短信目的地号码。你把代码发送到那个目的地，这样你的电脑就可以访问了。我们在三年前评估了它的第一个产品，产品名是TextKey，但从那以后就开始了添加了Wordpress博客登录工具可以添加到任何网站。遗憾的是，它们还没有着火，但我们仍然认为这是一项重要的技术。

SnapID比使用标准的短信OTP更好，因为它不容易被中间人攻击拦截。由于OTP起源于Web应用程序，因此实际上没有任何“中间”，您可以插入一些东西来拦截密码对话框。相反，SnapID利用了手机的内部硬件ID信息。当你向其服务器发送短信时，SnapID将验证你的身份，而不是一个欺骗的数字或设备。只要你有浏览器和手机，你就可以使用了。

SnapID的描述与该公司用其原始产品TextKey制作的非常相似。然而，有一个重要的区别:使用SnapID时，你不需要输入用户名和静态密码，只需要输入从其Web应用程序获取的OTP代码。这使得登录变得非常简单。这还意味着，如果有人试图破坏您的服务器，他们实际上没有什么可以窃取的，因为没有创建任何用户名。当然，这意味着当您的用户之一想要登录时，您必须信任他们的服务。

有两个版本:一个类似于TextKey，采用一段代码的形式，你添加到你的网站登录例程。另一个是Wordpress插件。

说到TextKey，他们有一个优秀的在线API参考在这里．然而，该公司还没有时间重写SnapID产品的文档，尽管他们声称两者将共享大多数接口。

安装和设置Wordpress插件需要几分钟。基本上，你通过OTP将你的用户ID注册到他们的服务中。此后，您可以登录到您的博客帐户，而不必记住您的静态密码，这增加了额外的安全层。

当我们测试SnapID时，他们升级了他们的SaaS服务器，我们不得不重新验证自己以继续使用SnapID。虽然可以理解，但这说明了他们软件系统的稳定性。这仍然是一个有趣的想法，我们希望他们开发其他插件，将他们的服务扩展到公共SaaS平台。有一个在他们的网站上有大量的在线文档关于如何实施该系统。

SnapID目前是免费的。

Vasco DIGIPASS for Mobile v4.9和IDENTIKEY Authentication Server v3.9:复杂的设置，出色的功能

Vasco是一个对比研究:它的安装很复杂，但具有非常强大的功能集。在您有一个有效的解决方案之前，有十几种不同的软件工具。另一方面，支持的令牌类型似乎有一个无穷无尽的列表。要实现它的MFA解决方案，您需要两种不同的软件工具:首先是它的Identikey Authentication Server，它处理设备分配、策略规则和管理仪表板。这一行包含一个独立的Identikey Risk Manager，可用于添加基于风险的身份验证方法。接下来是Digipass系列工具，它们设置不同的身份验证因素和令牌激活方法。

还有其他服务器，比如支持跨应用组合进行身份验证的联邦身份，目录服务连接器(支持多个目录提供商，包括Active directory、Radius、eDirectory和IBM/Tivoli的目录)，以及允许通过电子邮件、SMS文本生成otp的消息传递服务，语音响应系统将被纳入其框架。

当您完成时，您将已经安装了几个可执行文件。虽然复杂，组合功能非常丰富，因此，Vasco仍然是MFA世界的领导者。一旦完成所有这些设置，您就可以通过基于web的管理控制台访问各种特性，其中有许多选项卡和非常密集的菜单集合，用于设置用户、安全策略和批量令牌配置。这些菜单并不是很吸引人，可悲的是，自三年前我们最后一次查看以来，菜单并没有多大变化。像SafeNet一样，他们有超过30个报告，涵盖了广泛的信息收集，除了一些新添加的内容，大多数情况下，这与我们三年前回顾他们以来没有太大变化。在每个屏幕上点击一个按钮就可以轻松获得上下文感知的帮助文件。

Vasco继续创新新的令牌类型和更强的身份验证方法，这是它拥有超过100万用户的多个客户的原因之一，其中一个部署有800万用户。他们专注于银行和医疗垂直市场。该公司最新推出的两款令牌包括Digipass 760和780，这两款令牌都有摄像头和屏幕，可以捕捉全彩qr码类型的代码，他们声称这比一些竞争对手的一次性密码应用程序更安全，因为在认证过程中需要输入两个不同的代码。这两个和iPod nano差不多大。它们也有两个蓝牙令牌和一个新的运行时应用程序自我保护功能，为移动应用程序提供新的保护，即使设备已经受到任何恶意软件的危害。

自从我们上次关注Vasco以来，它已经加强了基于web的自助用户门户。现在，您可以通过此门户为单个用户提供和取消多个令牌类型，同时管理静态pin和其他常见任务。

Vasco最大的限制是它的SAML支持:它只有针对Office 365、Salesforce和谷歌Docs的特定文档。你可以添加其他的，但不像SafeNet，你没有具体的说明。您必须遵循作为软件文档的一部分而发布的API指南。您还可以使用一个OpenID连接器。他们可以更进一步，像Yubico和其他公司一样，在线记录他们的界面，让开发者更容易地访问这些信息。

另一个缺点是它的价格表。它极其复杂，如果打印出来，一个小城市的电话簿就会相形见绌。购买它的软件几乎等于购买了一份专业服务合同，以安装和集成它的众多选项和模块。我们得到了他们工程师的帮助，在我们的测试实验室中调试了一个相对适度的安装。尽管如此，我们计算出一个100令牌的“入门”工具包在第一年将花费大约7000美元，包括一个支持合同。有两种支持级别:一种是5天10小时的支持，另一种是全天候24小时的支持。前者约占总价的7%，而后者则额外增加20%。