Комментарии 18
Добрый день, как было сказано в статье, список провайдеров и выводы базируются на моем жизненном опыте. Большинство из приведенных участников члены OATH сообщества и с ними я лично имел дело.
За время моей работы подобных списков я видел много. Конкретно к этому списку есть ряд вопросов. Например, с каких пор Google Authenticator стал провайдером OTP аутентификации. В действительности это просто программный токен. Если убрать из списка рассмотренных мною участников, то останутся только no-name компании. Ну разве, что Symantec/Verisign VIP заслуживает внимания.
Готов добавить к рассмотрению наиболее интересных. Предлагайте конкретику, пожалуйста.
За время моей работы подобных списков я видел много. Конкретно к этому списку есть ряд вопросов. Например, с каких пор Google Authenticator стал провайдером OTP аутентификации. В действительности это просто программный токен. Если убрать из списка рассмотренных мною участников, то останутся только no-name компании. Ну разве, что Symantec/Verisign VIP заслуживает внимания.
Готов добавить к рассмотрению наиболее интересных. Предлагайте конкретику, пожалуйста.
Там провайдеры в целом, то есть не только сервиса но и инструментария — в том числе и программных OTP генераторов.
Рассматривать только SaaS или self-hosted платформы не совсем верно, на самом деле все подробно описано в RFC и сваять это все с нуля самому, а тем более прикрутить к своей системе очень просто
Рассматривать только SaaS или self-hosted платформы не совсем верно, на самом деле все подробно описано в RFC и сваять это все с нуля самому, а тем более прикрутить к своей системе очень просто
с каких пор Google Authenticator стал провайдером OTP аутентификации
Что такое «провайдер OTP»? Большая корпорация с откатами и программами поощрения реселлеров? Google Authenticator в связке с PAM является рабочей реализацией открытого стандарта OATH, стоит 0 денег, весь код доступен для анализа и потребление электроэнергии ниже, чем у решений RSA, например. При этом доступен под все актуальные платформы.
Но вообще прежде, чем ломать копья, хотелось бы сперва определиться с проблемой, которую должна решить 2FA в контексте данной статьи и существующие ограничения. Если нужна поддержка по телефону, счета по факсу, красивый логотип в презентацию для совета директоров и прочие атрибуты серьёзного энтерпрайза — это одно. Если нужно пользовательские логины обезопасить — это совсем другое.
Под термином «провайдером OTP аутентификации» — я понимаю набор программного и аппаратного обеспечения достаточный для внедрения 2FA в своем решении/продукте.
Также хочу отметить, что не для всех подходит Open source решения, т. к. зачастую предприятия хотят переложить эту зону ответственности на специализированное ПО, также не все имеют в своем распоряжении программистов для выполнения работ по поддержке 2FA. Из моего опыта, стоимость самостоятельной разработки полноценного решения (менеджмент объектов, нотификация о внештатных ситуациях, сервис самообслуживания, подробная статистика и т. п.) будет дороже, чем применение специализированного софта. И когда вас взломают, то ответственность ляжет полностью на разработчика и лицо, которое приняло решение на самостоятельную разработку.
Пусть каждый решит сам, как и какое решение 2FA он хочет внедрять у себя. Речь в моей статье идет о готовых к использованию решений с минимумом «допилов» и настроек. Я не против самостоятельной разработки ПО, но это тема не этой статьи. Я не могу своим заказчикам предложить решение, которое сделано «на коленке». Я считаю, что каждый должен сосредотачиваться на своей предметной области, но не утверждаю, что мое мнение единственно правильное.
Касательно Google Authenticator, я некоим образом не хочу умолить достоинств данного приложения, но я хочу подчеркнуть, что это просто софтверный генератор OTP (часть решения), а не провайдер двухфакторной аутентификации.
Также хочу отметить, что не для всех подходит Open source решения, т. к. зачастую предприятия хотят переложить эту зону ответственности на специализированное ПО, также не все имеют в своем распоряжении программистов для выполнения работ по поддержке 2FA. Из моего опыта, стоимость самостоятельной разработки полноценного решения (менеджмент объектов, нотификация о внештатных ситуациях, сервис самообслуживания, подробная статистика и т. п.) будет дороже, чем применение специализированного софта. И когда вас взломают, то ответственность ляжет полностью на разработчика и лицо, которое приняло решение на самостоятельную разработку.
Пусть каждый решит сам, как и какое решение 2FA он хочет внедрять у себя. Речь в моей статье идет о готовых к использованию решений с минимумом «допилов» и настроек. Я не против самостоятельной разработки ПО, но это тема не этой статьи. Я не могу своим заказчикам предложить решение, которое сделано «на коленке». Я считаю, что каждый должен сосредотачиваться на своей предметной области, но не утверждаю, что мое мнение единственно правильное.
Касательно Google Authenticator, я некоим образом не хочу умолить достоинств данного приложения, но я хочу подчеркнуть, что это просто софтверный генератор OTP (часть решения), а не провайдер двухфакторной аутентификации.
переложить эту зону ответственности на специализированное ПО
когда вас взломают, то ответственность ляжет полностью на разработчика и лицо, которое приняло решение на самостоятельную разработку
То есть суть в том, чтобы избежать ответственности. Возможно, это стоило указать в статье явно и в самом начале. Дальше не интересно. Спасибо за ваше время.
Спасибо, жду второй части
Удевлен количеством. Не знал.
Правда пользуюсь уже долгое время Authy. Был один неприятный моммент, когда призабыл пароль для бэкапа. А так, очень полезный метод атентификации.
Жаль что не все сайты пока себе прикручивают данный метод входа.
Правда пользуюсь уже долгое время Authy. Был один неприятный моммент, когда призабыл пароль для бэкапа. А так, очень полезный метод атентификации.
Жаль что не все сайты пока себе прикручивают данный метод входа.
НЛО прилетело и опубликовало эту надпись здесь
столкнулись с тем, что Google Authenticator работает некорректно на продуктах Lenovo (Android).
А в чём именно это выражается? Используем GA на разных платформах, с Андроидами проблем не было. Или именно на Lenovo не работает по каким-то причинам? Очень интересно, что именно не так.
Использую Google Authenticator для защиты гугл-аккаунта на Lenovo P780. Полет нормальный.
Спасибо за статью, если возникнет необходимость выбора — обязательно воспользуюсь Вашими советами.
Жду с нетерпением!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Выбор поставщика решения двухфакторной аутентификации. Часть 1 из 2