采购指南9多因素认证产品

自从我们上次回顾双因素认证产品在美国，市场已经从双因素身份验证转向现在被称为多因素身份验证的方式。关键特性之一是基于硬件的新类型令牌。以下是对九种MFA产品的个别评论。看到全面检讨。

也：动摇多因素认证的5大趋势

本产品则多为企业开发人员不是打包的软件解决方案兼容FIDO的工具包中。例如，贝宝已经将诺克诺克套件作为其Android版本的指纹识别软件的一部分。诺克诺克套件可与各种的验证方法，包括生物测定，令牌和移动电话集成。最终，如果FIDO标准确实上抓，通用MFA工具将变得更加认证，可以从一个单一的令牌来完成更加有用。但是，我们现在还没有。要开始使用诺克诺克，你将需要花费至少$ 50,000。鉴于这个价位上，企业开发者将不得不考虑大的，如果他们想开始使用FIDO。

单一的收敛迹象，与多因素身份验证的门户网站与更多的频率发生。一个很好的例子是PistolStar的PortalGuard，这是作为几个Windows Server应用程序将需要各种各样的微软服务，包括IIS，SQL Server和.NET框架。PortalGuardsupports令牌的数组，包括谷歌身份验证器，适用于Android和iPhone，RSA SecurID的自己的移动应用程序OTP和Yubico Yubikeys。该产品带有自己品牌基于风险的身份验证。各种API都是可用的，所以你可以建立到自己的应用程序。在第一年与随后几年$ 15,000标准的本地服务器开始在$ 5,000，其中包括支持多达10,000个并发用户和令牌，软，硬一些。

RSA的身份验证管理器是一个难以安装和配置的产品:部分原因是有太多独立的部分。它被安装为VM或物理硬件设备，都运行自己的加固Linux服务器。有VMware ESXi和Microsoft Hyper-V版本。由于该产品是市场上最强大的MFA工具之一，因此它广泛支持各种硬和软令牌类型、应用程序集成和工作流。这个版本的新功能是基于风险的身份验证引擎，它可以随时跟踪每个用户的设备和行为。这个版本的另一个新特性是RSA所称的Web层，它为处理用户自服务请求和管理基于风险的身份验证建立自定义Web界面。一个拥有100个用户的VM需要7500美元，而硬件设备需要10500美元，包括100个用户许可和硬件令牌、25个软件令牌和一年的维护。

金雅拓公司最近收购了SafeNet公司，但仍要求其提供的SafeNet身份验证服务。它提供的产品作为托管服务或为Windows Server上运行。

该产品在支持令牌类型、应用程序集成和身份验证方法方面继续处于领先地位。设置托管服务只需要几分钟。SafeNet有一些最好的MFA供应商的报告。它还具有最灵活和粒度最细的管理角色之一。SafeNet在其所谓的“预认证规则”中开始了基于风险的认证，这些规则在管理控制台中设置。SafeNet是市场上最便宜的解决方案之一，企业批量采购的典型成本为每用户/月1美元。考虑到价格和功能的结合，这款产品应该在任何人的候选名单上。

虽然VIP已经存在了很长一段时间，赛门铁克继续通过提供一些重要的创新和扩展与市场跟上。之一的VIP的一大优点是，它支持一个宽硬件令牌的阵列，基于移动的软令牌，短信和语音验证、push OTP、指纹验证(iphone和ipad都有)，还有一款适用于Apple Watch的应用。在使赛门铁克的企业网关运行后，它支持使用设备id和地理位置作为机制的基于风险的身份验证，以增加登录的额外因素。该产品有一个认证软件开发工具包，使嵌入VIP证书到移动应用程序更容易。如果订阅三年，费用是55美元/用户/年。

TextPower工作在最MFA工具相反：在登录时，会出现与OTP代码和Web浏览器屏幕上的SMS目的地号码。您文本代码到该目的地，并允许访问您的计算机。此产品没有起火，但我们仍然认为这是一个重要的技术。SnapID比使用标准的SMS OTP的，因为它不能一样容易与人在这方面的中间人攻击拦截更好。由于来自Web App中OTP发源，实在是没有任何“中间”在那里你可以插入一些拦截密码对话框。相反，SnapID利用了手机的内部硬件ID信息。当您发送短信到其服务器，SnapID将验证你是你说你是谁，这是不是一个欺骗性的号码或设备。只要你有你的网页浏览器，你的手机，你是好去。SnapID目前是免费的。

瓦斯科是安装复杂，但有一个非常有能力的功能集。有十几家不同的软件工具进行安装。在另一方面，有支持的标记类型的看似无尽的清单。瓦斯科继续与新的令牌类型和更强的身份验证方法的创新。其最新的标记有摄像头和屏幕，可以拍摄全彩色QR类型码。自从我们上次看了瓦斯科，它已经加强了其基于Web的自助服务用户门户。现在，您可以配置和取消配置多个记号类型通过该门户的单一用户，与管理您的静态PIN码和其他常见任务一起。瓦斯科最大的限制是它的SAML支持：他们有特定的文件只适用于Office 365，Salesforce的，和谷歌文档。另一个缺点是它的价格表，这是非常复杂的。

语音生物识别集团(VBG)从2009年开始参与声纹安全。语音作为额外的身份验证因素是棘手的。你的系统需要收集足够的信息来匹配用户的声纹。此外，拥有一个声纹数据库也提高了其安全性:一旦一个声纹被盗，你就无法为你的员工分配另一个声音。这就是为什么声音应该只是其他几个身份验证因素之一。VBG已经把他们的系统的一系列演示放在一起，可以通过一个Web门户访问。他们也有一系列HTMLv5应用程序，可以用来开始自己的开发工作。VBG是一种基于订阅的管理服务，其定价基于交易或存储在其系统上的单个声纹。

Yubico已经在多年的基于USB钥匙的领导者，是适合您的计算机上的USB插槽令牌。Yubico令牌可以在数百种不同的应用中发现该公司的FIDO的U2F标准的早期支持者。您可以轻松地设置键充当第二个因素，使用安全设置屏幕为每个应用程序或插件。一旦你这样做，你按下键的一侧小黄金按钮键序列发送到您的应用程序作为登录过程的一部分。Yubico也支持通过近场通信发送键。Yubico有支持它的按键，其中包括C，Java和PHP代码API库的一个长长的清单。

代币可以以50美元或更少的价格购买，数量为100枚。

斯特罗姆是《网络计算》杂志的创始主编，在各种IT和网络主题方面写了数千篇杂志文章和两本书。他的博客可以在strominator.com找到，你可以在Twitter上关注他@dstrom。