Bjørn Quist wrote:
> Har hørt om SecurID og CryptoCard!
> Hvilke fordele / ulemper er der ved disse ?
CryptoCard overholder ANSI X9.9. Hvilket er en standard, der betyder at
det vil virke med andre producenter. Fx kan det benyttes med af
FreeRADIUS, OpenBSD og Raptor firewallen understøtter det også uden
server software.
Asynkron validering kan dog ikke anbefaldes, grundet svagheder og er af
ANSI også trukket tilbage, dvs. du bør ikke sætte det op i
change/respone mode over en ukrypteret forbindelse, da din nøgle bliver
nemt at gætte.
De små tokens har rigtig to faktor validering, dvs. at du stadigvæk skal
taste PIN kode på token, og ikke som andre produkter sende det sammen
med passswordet.
Dog er CryptoCard nemt at sætte ud af drift, da det er sat mest sikkert
op. Hvis du vil have et system der er sværer at sætte ud af drift skal
du have fat i SafeWord.
SafeWords små tokens understøtter ikke rigtig brugervalidering. SafeWord
har endvidere ikke en GINA.DLL til deres stærkebrugervalidering, det har
både CryptoCard og SecureID.
Ovenstående to har meget god support, SafeWord kan man ringe til 24
timer i døgnet og få hjælp.
SecureID koster kassen, du tager den danske prisliste for CryptoCard og
skifter DKR ud med $.
Endvidere stoler jeg ikke på RSA, de har bygget et system de selv kan
komprimitere nemt. Ingen jeg kender programere selv deres tokens, dvs.
at de kører med standard opsætningen fra RSA. På tokenen ligger en nøgle
som er kendt af RSA og din SecureID server. På din server kan du give
dette token en PIN kode. Denne PIN kode skal dog sendes sammen med det
password der står på dit token. RSA kender herved tiden og nøglen, men
ikke PIN koden og brugernavnet, disse kan dog opfanges i transit.
Endvidere bør ovenstående også have samme problem som asynkron
change/response, men det er der ikke nogle der snakker om.
Det eneste positive jeg kan sige om RSA, er at de rent fysisk er _meget_
robuste, og det tager ca. 10-20 min at bryde ind i dem.
Dårlige support erfaringer, de er for store.
|