it-swarm-es.com

Autenticación de 2 factores: solución rentable para un inicio web

Mi banco local utiliza un autenticación de 2 factores donde los clientes ingresan la contraseña Y una vez PIN entregado vía SMS al teléfono móvil = OR desde un dispositivo de token de seguridad.

Estoy haciendo un inicio web en el espacio de comercio electrónico.

Ya he implementado https para páginas importantes como inicio de sesión. Elegí, digamos, una CA SSL rentable que tiene las iniciales Gd.

Esto puede ser en el futuro, pero ¿cuál es una solución rentable para mí para implementar una autenticación de factor 2 como mi banco local para mis usuarios?

¿Qué proveedor proporcionaría una solución rentable al igual que me acerqué a Gd para obtener mis certificados SSL?

19
Kim Stacks

Si está dispuesto a delegar su función de autenticación de usuario a otra persona, entonces la autenticación de dos factores de Google es una buena opción.

15
Ben

Recomendaría buscar en PhoneFacter . Los he mirado en el pasado y he encontrado que es un concepto muy interesante. Al igual que su banco, usan los teléfonos como segundo factor y ofrecen ya sea SMS o llamadas de voz directas para verificación.

Si son "rentables" dependerá, por supuesto, de lo que esas palabras signifiquen para usted.

10
Scott Pack

Aunque no los he usado personalmente, he escuchado cosas muy buenas de varias fuentes sobre YubiKey , que es una pequeña llave de hardware que está conectada al puerto USB de una computadora y básicamente proporciona una contraseña única que cambia cada una tiempo se usa.

9
Knox

Proporcionamos una solución de dos factores en Duo Security que puede usar voz, SMS, dispositivos móviles y tokens de hardware. Nuestros clientes de código abierto web y nix también pueden ayudarlo a evaluar sus opciones (tanto las nuestras como las de otros, y hacia la suya propia). Descargo de responsabilidad, soy desarrollador de Duo.

9
Karl Anderson

¿Puedo sugerir algo un poco menos estándar y considerar optar por la autenticación biométrica basada en software?
Estoy familiarizado con algunas startups (sigilosas) que trabajan en este espacio ... esto puede incluir cosas como la dinámica del teclado, el reconocimiento de huellas digitales a través de la cámara web, otros ...

4
AviD

La pena es que no conozco las cifras de costos, pero tal vez quieras probar ex-VeriSign autenticación de dos factores basada en la nube . El sitio web afirma que es de bajo costo.

3
Paweł Dyda

Aunque no es una respuesta, lo publicaré aquí. Espero que los sitios de comercio electrónico comunes de todos los días NO comiencen a utilizar la autenticación de 2 factores como estándar. Siempre debe ser opcional para los usuarios a menos que exista una gran responsabilidad (riesgo inaceptable + costo) apalancada contra su negocio. Los odio, y son terriblemente molestos cuando viajan. Se ralentiza mi experiencia web mientras espero un mensaje de texto o correo electrónico y transcribo el código de una sola vez. Mi peor experiencia fue tratar de recibir un código de verificación SMS mientras estaba en el extranjero y mi teléfono en roaming.

Aquí está mi sugerencia: use la verificación de direcciones de correo electrónico y HTTPS hasta que tenga tiempo + dinero para ir más allá. Luego agréguelo como una opción, al igual que OpenID.

Incluso la autenticación de 2 factores basada en el número de teléfono se basa en la identificación del número de teléfono del usuario. Conozco personas que prefieren darle una tarjeta de crédito para verificar su dirección que dar su número de teléfono a un sitio web aleatorio. Especialmente si estás en el espacio de comercio electrónico. Considere la verificación de identidad como un paso adicional para el registro en lugar de un paso adicional para iniciar sesión.

3
Eric Falsken

SMS nunca ha sido un canal de calidad asegurada, ya que funciona principalmente en modo "disparar y olvidar", y la velocidad de entrega depende de muchos factores fuera del control del remitente. También debe mantener el número de teléfono del usuario actual y tener un procedimiento seguro para cambiarlo. Además, el costo de un SMS todavía es relativamente alto. No probé, no sé cuánto cuesta, pero la solución parece interesante, el problema, como con SMS, que obliga a que el teléfono móvil sea un requisito para usar su sitio. La solución: http://www.cronto.com/visual_cryptogram.htm

2
VP.

Como consultor para soluciones de autenticación y autorización, he analizado varios productos que utilizan OTP, biometría y otros sistemas de respuesta a desafíos. Encuentro que Snorkel-TX de Odyssey Technologies Limited es una solución de seguridad integral y bien diseñada para aplicaciones web. Es rentable en comparación con muchas otras soluciones. Se puede implementar en muy poco tiempo sin ningún cambio de codificación en la aplicación web.

0
user53105

Apache TripleSec podría ser de interés, aunque no lo he probado, así que no estoy seguro de qué tan estable sea.

0
Bruno