Комментарии 18
+1
Добрый день, как было сказано в статье, список провайдеров и выводы базируются на моем жизненном опыте. Большинство из приведенных участников члены OATH сообщества и с ними я лично имел дело.
За время моей работы подобных списков я видел много. Конкретно к этому списку есть ряд вопросов. Например, с каких пор Google Authenticator стал провайдером OTP аутентификации. В действительности это просто программный токен. Если убрать из списка рассмотренных мною участников, то останутся только no-name компании. Ну разве, что Symantec/Verisign VIP заслуживает внимания.
Готов добавить к рассмотрению наиболее интересных. Предлагайте конкретику, пожалуйста.
За время моей работы подобных списков я видел много. Конкретно к этому списку есть ряд вопросов. Например, с каких пор Google Authenticator стал провайдером OTP аутентификации. В действительности это просто программный токен. Если убрать из списка рассмотренных мною участников, то останутся только no-name компании. Ну разве, что Symantec/Verisign VIP заслуживает внимания.
Готов добавить к рассмотрению наиболее интересных. Предлагайте конкретику, пожалуйста.
+1
Там провайдеры в целом, то есть не только сервиса но и инструментария — в том числе и программных OTP генераторов.
Рассматривать только SaaS или self-hosted платформы не совсем верно, на самом деле все подробно описано в RFC и сваять это все с нуля самому, а тем более прикрутить к своей системе очень просто
Рассматривать только SaaS или self-hosted платформы не совсем верно, на самом деле все подробно описано в RFC и сваять это все с нуля самому, а тем более прикрутить к своей системе очень просто
0
с каких пор Google Authenticator стал провайдером OTP аутентификации
Что такое «провайдер OTP»? Большая корпорация с откатами и программами поощрения реселлеров? Google Authenticator в связке с PAM является рабочей реализацией открытого стандарта OATH, стоит 0 денег, весь код доступен для анализа и потребление электроэнергии ниже, чем у решений RSA, например. При этом доступен под все актуальные платформы.
Но вообще прежде, чем ломать копья, хотелось бы сперва определиться с проблемой, которую должна решить 2FA в контексте данной статьи и существующие ограничения. Если нужна поддержка по телефону, счета по факсу, красивый логотип в презентацию для совета директоров и прочие атрибуты серьёзного энтерпрайза — это одно. Если нужно пользовательские логины обезопасить — это совсем другое.
0
Под термином «провайдером OTP аутентификации» — я понимаю набор программного и аппаратного обеспечения достаточный для внедрения 2FA в своем решении/продукте.
Также хочу отметить, что не для всех подходит Open source решения, т. к. зачастую предприятия хотят переложить эту зону ответственности на специализированное ПО, также не все имеют в своем распоряжении программистов для выполнения работ по поддержке 2FA. Из моего опыта, стоимость самостоятельной разработки полноценного решения (менеджмент объектов, нотификация о внештатных ситуациях, сервис самообслуживания, подробная статистика и т. п.) будет дороже, чем применение специализированного софта. И когда вас взломают, то ответственность ляжет полностью на разработчика и лицо, которое приняло решение на самостоятельную разработку.
Пусть каждый решит сам, как и какое решение 2FA он хочет внедрять у себя. Речь в моей статье идет о готовых к использованию решений с минимумом «допилов» и настроек. Я не против самостоятельной разработки ПО, но это тема не этой статьи. Я не могу своим заказчикам предложить решение, которое сделано «на коленке». Я считаю, что каждый должен сосредотачиваться на своей предметной области, но не утверждаю, что мое мнение единственно правильное.
Касательно Google Authenticator, я некоим образом не хочу умолить достоинств данного приложения, но я хочу подчеркнуть, что это просто софтверный генератор OTP (часть решения), а не провайдер двухфакторной аутентификации.
Также хочу отметить, что не для всех подходит Open source решения, т. к. зачастую предприятия хотят переложить эту зону ответственности на специализированное ПО, также не все имеют в своем распоряжении программистов для выполнения работ по поддержке 2FA. Из моего опыта, стоимость самостоятельной разработки полноценного решения (менеджмент объектов, нотификация о внештатных ситуациях, сервис самообслуживания, подробная статистика и т. п.) будет дороже, чем применение специализированного софта. И когда вас взломают, то ответственность ляжет полностью на разработчика и лицо, которое приняло решение на самостоятельную разработку.
Пусть каждый решит сам, как и какое решение 2FA он хочет внедрять у себя. Речь в моей статье идет о готовых к использованию решений с минимумом «допилов» и настроек. Я не против самостоятельной разработки ПО, но это тема не этой статьи. Я не могу своим заказчикам предложить решение, которое сделано «на коленке». Я считаю, что каждый должен сосредотачиваться на своей предметной области, но не утверждаю, что мое мнение единственно правильное.
Касательно Google Authenticator, я некоим образом не хочу умолить достоинств данного приложения, но я хочу подчеркнуть, что это просто софтверный генератор OTP (часть решения), а не провайдер двухфакторной аутентификации.
0
переложить эту зону ответственности на специализированное ПО
когда вас взломают, то ответственность ляжет полностью на разработчика и лицо, которое приняло решение на самостоятельную разработку
То есть суть в том, чтобы избежать ответственности. Возможно, это стоило указать в статье явно и в самом начале. Дальше не интересно. Спасибо за ваше время.
0
Спасибо, жду второй части
0
Удевлен количеством. Не знал.
Правда пользуюсь уже долгое время Authy. Был один неприятный моммент, когда призабыл пароль для бэкапа. А так, очень полезный метод атентификации.
Жаль что не все сайты пока себе прикручивают данный метод входа.
Правда пользуюсь уже долгое время Authy. Был один неприятный моммент, когда призабыл пароль для бэкапа. А так, очень полезный метод атентификации.
Жаль что не все сайты пока себе прикручивают данный метод входа.
0
НЛО прилетело и опубликовало эту надпись здесь
столкнулись с тем, что Google Authenticator работает некорректно на продуктах Lenovo (Android).
А в чём именно это выражается? Используем GA на разных платформах, с Андроидами проблем не было. Или именно на Lenovo не работает по каким-то причинам? Очень интересно, что именно не так.
0
Использую Google Authenticator для защиты гугл-аккаунта на Lenovo P780. Полет нормальный.
+1
Спасибо за статью, если возникнет необходимость выбора — обязательно воспользуюсь Вашими советами.
+1
Жду с нетерпением!
+1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Выбор поставщика решения двухфакторной аутентификации. Часть 1 из 2