供应商认证综述:好的、坏的和丑陋的

以前 123.45 第5页

语音生物识别集团验证服务平台：基于声纹认证

语音生物识别集团（VBG）自2009年以来一直参与的声纹安全领域，并有一些最大的语音有关的设施，其中一些包含超过一百万个人声波纹的。该公司已参与了一些有趣的应用程序，如在双盲临床医学试验，其中临床医生不知道对象还需要通过他们的声纹验证自己的身份被使用。

语音作为额外的认证因素有很多细微之处，并且将需要一些特别的实现。不像OTP，验证声音是统计的问题，而不是一个是/否的决定：你的系统需要收集足够的信息，以匹配连接到一个特定扬声器的声纹记录。音频如何记录 - 扬声器是否处于静音或嘈杂的房间，使用手机或座机，并说一种特定的语言 - 是的是否匹配将声纹系统的所有关键要素。

此外，具有声纹UPS数据库对其安全的赌注：想象一下，如果这样的数据库被黑客攻击或破坏。一旦声纹已经被人偷走了，你不能在另一个声音分配给您的员工之一。这是任何生物识别因子和为什么这并没有成为流行在这次审查中使用的其他身份验证方法的原因之一的整体问题。这就是为什么声音应该是公正的其他几个认证因素和需要一个短信或电话作为补充，以更安全。没有人使用了声纹系统作为唯一的认证因素，主要是因为声音可以记录和回放战胜这种简单的用例。

但是，每个人都有自己独特的声音，所以如果您试图在全世界部署一个系统，发送硬件令牌可能会成为问题，那么这种声音就很有吸引力。

VBG整合了一系列可以通过Web门户访问的系统演示。这可以用来设置和记录声纹，并展示如何将它们用作典型的交互式语音响应电话应用程序的一部分。还有第二个基于web的门户，它是主要的管理和管理控制台。它具有下载事务报告、显示语音记录状态的菜单选项，并用于将语音分类为男性或女性说话者。

VBG还有一系列HTMLv5应用程序，可以用来启动您自己的开发工作，这些开发工作包含在资源中。他们的系统基于RESTful API，这个API相当简单，只有不到12个不同的命令。

仪表板和报告非常简单，尽管公司正在致力于在不久的将来改进它们的UI。

不包括对SAML或OAuth或其他典型身份验证协议的任何支持。这更适用于定制应用程序，这些应用程序通常与呼叫中心中的语音响应系统相结合。

VBG是每月$ 500最低费用基于订购的托管服务。定价无论是基于存储在其系统上的交易或个人声波纹，和典型的交战会利用他们的专业服务机构，以最少的费用也开始$ 10,000。60天免费试用版，只要你签署一份保密协议。

Yubikey 4:基于usb的键

多年来，Yubico一直是基于usb的keys的领导者;它的令牌有一个非常有趣的形式:它适合于您计算机上的USB插槽，并且有各种各样的密钥来支持几十个应用程序和身份提供程序。他们的第四代钥匙去年11月出版。这些密钥在大多数Windows、Mac和Linux系统中都不需要任何额外的驱动程序。

+ ALSO：用于移动设备的安全9只+小工具

一个例子是，YubiKey 4可用于初始开发期间，并通过随后的更新进行数字签名的GitHub和泊坞代码以确保该开发的应用程序的完整性。这种“触摸到符号”功能，除了具有代码签名许多不同的应用：你可以实现它用于测试的情况下“生命的证据”太。

Yubico令牌可以在数百个应用程序中找到，而且该公司是FIDO的U2F标准的早期支持者。这意味着，同样的Yubikey可以被用来在多个应用程序中验证自己的身份:目前这些应用程序包括谷歌Docs、Dropbox、密码管理器(如Dashlane单点登录工具，如centrfy)，以及其他一些通过Wordpress和Django内容管理系统插件实现的系统。他们受欢迎的一个迹象是，每一个谷歌和Facebook员工都使用他们的密钥来保护他们的登录。

不管是否支持U2F，它们的密钥都不存储任何加密信息:相反，它们包含一长串字母数字序列，用作复杂的密码。

您可以使用每个应用程序或插件的安全设置屏幕，轻松地将密钥设置为所有这些帐户的第二个因素。这样做之后，您必须按下密钥一侧的一个小黄金按钮，将密钥序列作为登录过程的一部分发送到您的应用程序。这当然比输入复杂的密码序列要好。请注意，这是一个OTP应用程序:每个按键都会生成一个新的数字序列。

除了基于usb的密钥，Yubico还有一个更新的YubiKey NEO设备，支持通过近场通信协议发送密钥。这些可以用在智能手机和其他支持这种方法的设备上。

Yubico有支持它的按键，其中包括C，Java和PHP代码API库的一个长长的清单。还有就是可以通过公司的开发者用来建立自己的基于Yubikey认证系统中，大量的代码片段，并就如何把一切融合在一起的详细说明，大量的文档。该文档是免费提供他们的开发人员门户而且成为这个项目的一部分是不收费的。本文档和代码示例的数量和质量以及编程语言支持的广度应该成为其他MFA供应商的一个模型。

企业开发人员利用他们的管理和个性化软件工具，运行在Windows、Mac OS X和几个Linux操作系统上，向用户分配和撤销密钥。

代币可以以50美元或更少的价格购买，数量为100。

斯特罗姆是《网络计算》杂志的创始主编，在各种IT和网络主题上撰写了数千篇杂志文章和两本书。他的博客可以在strominator.com上找到，你可以在Twitter @dstrom上关注他。他住在圣路易斯。