供应商认证综述:好的、坏的和难看的

以前的 123.45 第5页

语音生物识别群验证服务平台:基于语音指纹的认证

自2009年以来，语音生物识别集团(VBG)一直参与语音指纹安全领域，并拥有一些最大的语音相关安装，其中一些包含了超过100万个单独的语音指纹。该公司已经参与了一些有趣的应用，比如在双盲临床医学试验中，临床医生不知道受试者，但需要通过他们的声纹验证他们的身份。

作为额外的身份验证因素，语音有很多微妙之处，需要一些谨慎的实现。与OTP不同，验证声音是一个统计问题，而不是一个是/否的决定:您的系统需要收集足够的信息，以匹配附在特定扬声器上的录音声纹。音频是如何录制的——讲话者是在安静还是嘈杂的房间里，使用手机还是座机，说着一种特定的语言——这些都是决定是否由声纹系统进行匹配的关键因素。

此外，拥有一个声音指纹数据库也加大了其安全性的赌注:想象一下，如果这样一个数据库被黑客攻击或破坏了。一旦一个声纹被偷了，你就不能再给你的员工分配一个声音了。这是任何生物识别因素都存在的一个整体问题，也是为什么这一方法不像本文中使用的其他认证方法那样流行的原因之一。这就是为什么语音应该只是其他几个身份验证因素之一，需要用短信或电话来补充，以更安全。没有人使用声纹系统作为唯一的身份验证因素，主要是因为声音可以被记录和回放，以击败这种简单的用例。

然而，每个人都有一个独特的声音，所以如果您试图在世界各地部署一个系统，其中发送硬件令牌可能是一个问题，那么这是有吸引力的。

VBG整合了一系列可以通过Web门户访问的系统演示。这可用于设置和记录声纹，并显示如何将其用作典型的交互式语音响应电话应用程序的一部分。还有第二个基于web的门户，它是主要的管理和管理控制台。它有下载交易报告的菜单选项，显示语音记录的状态，并用于区分男性或女性说话者的声音。

VBG还有一系列HTMLv5应用程序，可以用来启动您自己的开发工作，这些工作包括在资源中。他们的系统是基于相当简单的RESTful API的，只有不到十几个不同的命令。

仪表板和报告非常简单，尽管公司正在努力改进他们的UI在不久的将来。

其中不包括对SAML或OAuth或其他典型的身份验证协议的支持。这更适合于定制的应用程序，这些应用程序通常会与呼叫中心的语音响应系统相结合。

VBG是一个基于订阅的管理服务，每月最低收费500美元。定价是根据交易或存储在其系统中的个人声纹进行的，一般的预约将利用他们的专业服务机构，最低费用从1万美元起。如果你签署保密协议，就可以免费试用60天。

Yubico Yubikey 4:基于usb的密钥

多年来，Yubico一直是基于usb的密钥的领导者;它的令牌有一个非常有趣的形式因素:它适合于您计算机上的USB插槽，并具有各种密钥来支持数十个应用程序和身份提供者。他们的第四代钥匙去年11月面世。在大多数Windows、Mac和Linux系统上，这些键不需要任何额外的驱动程序。

+也:9个移动设备安全小工具+

例如，YubiKey 4可以在初始开发和后续更新过程中对GitHub和Docker代码进行数字签名，以确保开发的应用程序的完整性。除了签名代码外，这个“触摸签名”特性还有许多不同的应用程序:您也可以实现它来测试“生命证明”情况。

Yubico代币可以在数百种应用中找到，该公司是FIDO U2F标准的早期支持者。这意味着同样的Yubikey可以用于多个应用程序的身份验证:目前这些应用程序包括谷歌Docs、Dropbox、Dashlane单点登录工具(如Centrify)等密码管理器，以及其他一些通过Wordpress和Django内容管理系统插件实现的系统。谷歌和Facebook的每一个员工都使用他们的密钥来保护他们的登录安全，这是他们受欢迎的一个迹象。

不管是否支持U2F，它们的密钥都不存储任何加密信息:相反，它们包含一长串字母数字序列，用作复杂的密码。

使用每个应用程序或插件的安全设置屏幕，您可以轻松地设置密钥，将其作为所有这些帐户的第二个因素。这样做之后，您必须按下键一侧的一个小金色按钮，将键序列发送到您的应用程序，作为登录过程的一部分。这当然比输入复杂的密码序列要好。注意，这是一个OTP应用程序:每次按键都会生成一个新的数字序列。

除了基于usb的密钥，YubiKey还有一个更新的YubiKey NEO设备，支持通过近场通信协议发送密钥。这些可以用于智能手机和其他支持这种方法的设备。

Yubico有一个很长的API库列表，支持它的键，包括C、Java和PHP代码。公司开发人员可以使用大量的文档来构建他们自己的基于yubikey的身份验证系统、大量的代码片段以及关于如何将所有内容组合在一起的详细说明。的文档可以在他们的开发人员门户上免费获得成为这个项目的一部分是不收费的。该文档和代码示例的数量和质量以及编程语言支持的广度应该成为其他MFA供应商的榜样。

企业开发人员利用他们的管理和个性化软件工具，在Windows、Mac OS X和几个Linux操作系统上运行，为用户分配和撤销密钥。

代币可以购买50美元或更少，数量为100个。

Strom是《网络计算》杂志的创始主编，在各种IT和网络主题上写了数千篇杂志文章和两本书。他的博客可以在strominator.com上找到，你也可以在Twitter @dstrom上关注他。他住在圣路易斯。