9供应商认证综述：好的，坏的和丑陋的

上一个 1个2个三4个5个 第4页 下一个

例如，您可以将更高的风险分配给那些在不同的设备或操作系统之间切换的终端用户，这些设备或操作系统与他们已建立的模式不一致，或者如果用户从另一个国家的新位置登录。当风险得分超过特定阈值时，用户登录可能会被阻止。该软件在VIP管理器和企业网关中都有设置选项。

如果可以从Symantec插入特殊的JavaScript代码，还可以在SaaS应用程序中启用基于风险的身份验证。对于这个过程，用户界面和说明可以变得更简单，但是如果在评估中考虑到这一点，那么它是产品的一部分就很好了。其他供应商，如Vasco，将其基于风险的身份验证作为单独的产品销售。

该产品有一个凭证软件开发工具包，使嵌入VIP凭证到移动应用程序更容易。但是，这对任何客户都是不可用的，只有那些赛门铁克认为值得使用的，因为它不是很交钥匙，需要大量的支持服务来创建任何有用的应用程序。

除此之外，VIP已经通过SAML和SOAP支持了100多个应用。

VIP的一大优点是它支持各种各样的硬件令牌，基于移动的软令牌，短信和基于语音的验证、推送OTP、指纹认证（iphone和ipad都有），还有一款苹果手表应用。超过700台设备可以运行各种形式的VIP认证软件，显示了赛门铁克在这个市场上的历史。软令牌可以直接从网页上下载。支持的版本至少包括iOS v7、Android v4和Windows Phone v8。

联机帮助相当粗略，只有基本的入门说明和最小的上下文相关帮助。您将发现需要下载几个手册才能完成整个安装过程。只有不到12个报告可用，包括事务历史记录和登录安全挑战。同样，管理控制台这一部分的用户界面可能需要一些工作。

定价相对简单。首先，有一个2000美元的帐户设置费。对于三年订阅（包括gold level 24/7支持、MFA和基于风险的身份验证、SAML支持、企业网关、无限移动或桌面凭据），每个用户每年的成本为55美元。有一个60天的免费试用期，不包括任何短信或语音凭证（这是额外的费用选项，根据使用情况），但这些可以激活后，你转换成一个付费帐户。提供批量折扣。总体各种服务和移动版本的系统需求可以在这里找到。

TextPower SnapID v1.1：创新方法

TextPower的工作原理与大多数MFA工具相反：在登录时，在web浏览器屏幕上会显示一个OTP代码和一个SMS目的地号码。您将该代码发送到该目标并允许您的计算机访问。三年前，我们以产品名TextKey审查了它的第一个产品，但从那时起，他们已经为Wordpress博客登录添加了一个工具可以添加到任何网站。遗憾的是，他们还没有着火，但我们仍然认为这是一项重要的技术。

SnapID比标准的SMS OTP更好，因为它不容易被中间人攻击拦截。由于OTP起源于Web应用程序，所以实际上没有任何“中间”可以插入东西来拦截密码对话框。相反，SnapID利用手机的内部硬件ID信息。当你向它的服务器发送短信时，SnapID会验证你是你所说的那个人，而不是一个伪造的号码或设备。只要你有网络浏览器和手机，你就可以上网了。

SnapID的描述与公司使用TextKey（其原始产品）生产的产品非常相似。但是，有一个重要的区别：使用SnapID，您不需要输入用户名和静态密码，只需输入从其Web应用程序获得的OTP代码。这使得登录，嗯，很快。这也意味着，如果有人试图破坏你的服务器，从字面上说，他们没有什么可以窃取的，因为没有任何用户名创建。当然，这意味着当你的一个用户想要登录时，你必须信任他们提供的服务。

有两个版本：一个类似于TextKey，采用一段代码的形式添加到网站登录例程中。另一个是Wordpress插件。

说到TextKey，他们有一个优秀的在线API参考。然而，该公司还没有时间重写SnapID产品的文档，尽管他们声称两者将共享大部分接口。

安装Wordpress插件需要几分钟时间。基本上，你通过OTP将短信发送回他们的短信目的地号码，在他们的服务中注册你的用户ID。之后，你就可以登录你的博客账号，而不需要记住你的静态密码，这增加了额外的安全层。

当我们测试SnapID时，他们升级了他们的SaaS服务器，我们必须重新验证自己，才能继续使用SnapID。虽然可以理解，但这也说明了他们软件系统的稳定性。这仍然是一个有趣的想法，我们希望他们开发其他插件，将其服务扩展到常见的SaaS平台。有一个他们网站上有大量的在线文档如何实施这一制度。

SnapID目前是免费的。

Vasco DIGIPASS用于移动v4.9和IDENTIKEY身份验证服务器v3.9:复杂的设置，优秀的特性

Vasco是一个相反的研究:它的安装很复杂，但有一个非常强大的功能集。在你能有一个工作的解决方案之前，有超过一打的不同的软件工具。另一方面，支持的令牌类型似乎无穷无尽。要实现它的MFA解决方案，您需要两种不同的软件工具:首先是它的Identikey身份验证服务器，它处理设备分配、策略规则和管理仪表板。这一行包括一个单独的Identikey风险管理器，可用于添加基于风险的身份验证方法。接下来是Digipass工具系列，用于设置不同的身份验证因素和令牌激活方法。

还有其他服务器，例如支持跨应用程序组合进行身份验证的联合身份、目录服务连接器（支持多个目录提供程序，包括Active directory、Radius、eDirectory和IBM/Tivoli's directory）以及允许通过电子邮件、短信和语音生成otp的消息传递服务将响应系统纳入其框架。

当你完成时，你已经安装了几个可执行文件。虽然复杂，组合是非常丰富的功能，作为一个结果，Vasco仍然是MFA世界的领导者。完成这些设置之后，就可以通过基于web的管理控制台访问各种特性，其中有许多选项卡和非常密集的菜单集合来设置用户、安全策略和批量令牌供应。这些菜单不是很吸引人，可悲的是，自我们三年前最后一次看菜单以来，没有什么变化。像SafeNet一样，他们有超过30份的报告，涵盖了广泛的信息收集，并且增加了一些新内容，自三年前我们对这些报告进行审查以来，这些报告基本上没有什么变化。只要在每个屏幕上单击一个按钮，就可以轻松地获得上下文相关的帮助文件。

Vasco继续创新新的令牌类型和更强大的身份验证方法，这是它拥有多个用户超过100万的客户的原因之一，其中包括一个部署有800万用户。他们专门从事银行和医疗垂直市场。其最新的两款代币包括Digipass 760和780，它们都有摄像头和屏幕，可以捕捉他们声称比竞争对手的一次性密码应用程序更安全的全彩二维码，因为在认证过程中需要输入两种不同的密码。这两个和iPod Nanos差不多大。他们还拥有两个蓝牙令牌和一个新的运行时应用程序自我保护功能，为移动应用程序提供新的保护，即使设备已被任何恶意软件破坏。

自从我们上次查看Vasco以来，它已经增强了基于Web的自助服务用户门户。现在，您可以通过此门户为单个用户提供和取消提供多个令牌类型，以及管理静态pin和其他常见任务。

Vasco最大的限制是它对SAML的支持:它只有针对Office 365、Salesforce和谷歌文档的特定文档。你可以添加其他的，但不像SafeNet，你没有具体的指示。您必须遵循作为软件文档一部分的已发布的API指南。您还可以使用一个OpenID连接器。他们可以更进一步，像Yubico和其他人一样在线记录他们的界面，让开发人员更容易地访问这些信息。

另一个缺点是它的价格表。它非常复杂，如果打印出来，可能会使一个小城市的电话簿相形见绌。购买它的软件几乎可以保证购买专业服务合同来安装和集成它的众多选项和模块。我们从他们的工程师那里得到了帮助，在我们的测试实验室里调试了一个相对温和的安装。然而，我们计算出，一个100个令牌的“starter”工具包第一年的成本大约为7000美元，其中包括一份支持合同。有两个支持级别：一个是5天10小时支持，另一个是全天候支持。前者约占总购买价格的7%，后者则增加20%。