Интересная статья, особенно полезно про включение нескольких методов аутентификации. Несколько лет назад я проводил сравнение поставщиков: https://habrahabr.ru/post/238589/. У Duo много плагинов, но их решение дорогое. Выбрал Protectimus для своих проектов. Позже озадачился вопросом защиты SSH, но собственных модулей у них не оказалось, поэтому настроил модуль Google Authenticator, но с секретными ключами токенов от Protectimus. А сейчас у них появились новые перепрограммируемые токены, которые могут использоваться как замена Google Authenticator и других TOTP совместимых токенов, так что, в некотором плане, работать стало даже проще.
Вы не могли бы привести реальные примеры, где на одну операции отправляется 2 OTP?
Я могу ошибаться, но с точки зрения пользователя это не очень удобно.
Под термином «провайдером OTP аутентификации» — я понимаю набор программного и аппаратного обеспечения достаточный для внедрения 2FA в своем решении/продукте.
Также хочу отметить, что не для всех подходит Open source решения, т. к. зачастую предприятия хотят переложить эту зону ответственности на специализированное ПО, также не все имеют в своем распоряжении программистов для выполнения работ по поддержке 2FA. Из моего опыта, стоимость самостоятельной разработки полноценного решения (менеджмент объектов, нотификация о внештатных ситуациях, сервис самообслуживания, подробная статистика и т. п.) будет дороже, чем применение специализированного софта. И когда вас взломают, то ответственность ляжет полностью на разработчика и лицо, которое приняло решение на самостоятельную разработку.
Пусть каждый решит сам, как и какое решение 2FA он хочет внедрять у себя. Речь в моей статье идет о готовых к использованию решений с минимумом «допилов» и настроек. Я не против самостоятельной разработки ПО, но это тема не этой статьи. Я не могу своим заказчикам предложить решение, которое сделано «на коленке». Я считаю, что каждый должен сосредотачиваться на своей предметной области, но не утверждаю, что мое мнение единственно правильное.
Касательно Google Authenticator, я некоим образом не хочу умолить достоинств данного приложения, но я хочу подчеркнуть, что это просто софтверный генератор OTP (часть решения), а не провайдер двухфакторной аутентификации.
Добрый день, как было сказано в статье, список провайдеров и выводы базируются на моем жизненном опыте. Большинство из приведенных участников члены OATH сообщества и с ними я лично имел дело.
За время моей работы подобных списков я видел много. Конкретно к этому списку есть ряд вопросов. Например, с каких пор Google Authenticator стал провайдером OTP аутентификации. В действительности это просто программный токен. Если убрать из списка рассмотренных мною участников, то останутся только no-name компании. Ну разве, что Symantec/Verisign VIP заслуживает внимания.
Готов добавить к рассмотрению наиболее интересных. Предлагайте конкретику, пожалуйста.
Вы не могли бы привести реальные примеры, где на одну операции отправляется 2 OTP?
Я могу ошибаться, но с точки зрения пользователя это не очень удобно.
Помните, что еще на подходе вторая часть статьи.
Также хочу отметить, что не для всех подходит Open source решения, т. к. зачастую предприятия хотят переложить эту зону ответственности на специализированное ПО, также не все имеют в своем распоряжении программистов для выполнения работ по поддержке 2FA. Из моего опыта, стоимость самостоятельной разработки полноценного решения (менеджмент объектов, нотификация о внештатных ситуациях, сервис самообслуживания, подробная статистика и т. п.) будет дороже, чем применение специализированного софта. И когда вас взломают, то ответственность ляжет полностью на разработчика и лицо, которое приняло решение на самостоятельную разработку.
Пусть каждый решит сам, как и какое решение 2FA он хочет внедрять у себя. Речь в моей статье идет о готовых к использованию решений с минимумом «допилов» и настроек. Я не против самостоятельной разработки ПО, но это тема не этой статьи. Я не могу своим заказчикам предложить решение, которое сделано «на коленке». Я считаю, что каждый должен сосредотачиваться на своей предметной области, но не утверждаю, что мое мнение единственно правильное.
Касательно Google Authenticator, я некоим образом не хочу умолить достоинств данного приложения, но я хочу подчеркнуть, что это просто софтверный генератор OTP (часть решения), а не провайдер двухфакторной аутентификации.
За время моей работы подобных списков я видел много. Конкретно к этому списку есть ряд вопросов. Например, с каких пор Google Authenticator стал провайдером OTP аутентификации. В действительности это просто программный токен. Если убрать из списка рассмотренных мною участников, то останутся только no-name компании. Ну разве, что Symantec/Verisign VIP заслуживает внимания.
Готов добавить к рассмотрению наиболее интересных. Предлагайте конкретику, пожалуйста.