"De, pontosan ezt mondtam én is, te állítottad, hogy "az idő alapú OTP bizony zero administration megoldás". Ez viszont butaság."
Üzemeltetés volt a kontextus, de köss bele apróságokba, az viszi előre a világot...
Vagy értsük még ide a könyvelési és ügyviteli költségeket is a szoftver és hardverkörnyezet amortizációjával és/vagy havi előfizetési díjával együtt, ami ingyenes szoftver esetén nem kell, vagy megállhatunk ott, hogy mibe kerül ténylegesen üzemeltetni?
"Felteszed az appot a mobilodra, jön egy notification, beírod a PIN kódot, autentikálva vagy. Az integráció módja nem változik, az MFA szervert használod az LDAP proxyzásához, tökmindegy, hogy SMS-ben válaszolsz, #-et nyomsz, vagy appot használsz. Teljesen transzparens."
...mint több más megoldás esetén, amiről ezek szerint fogalmatok nincs... :/
Megéltem már néhányszor, hogy jött például az IBM, az Oracle és a Microsoft is, mindegyik mondta, hogy az SSO megoldása a legeslegjobb, aztán kiderült, hogy - ugyan más-más ok miatt, de egyik se volt alkalmas a feladatra. A közös jellemző az volt, hogy egyik ((technical) pre) sales ember se volt képes ezt megérteni, továbbra is fényezte a sajátját és fikázta a többit. A licencköltség és TCO számolást pedig meg se merem említeni, hogy mennyire képtelenek voltak átgondolni, hogy mekkora tényleges költségbe kerül a megoldásuk. Sajnos ugyanezt látom rajtatok is... :/
A jelenlegi megoldásom egy TOTP (Google Authenticator) egy darab PAM modullal, ez a baseline, 0 forint üzemeltetési költséggel, ez a biztonsági szint nekem megfelelő és ezzel például a Mozilla se lett volna kompromittálva.
Jöttök, és ajánlani próbáljátok az MS-MFA-t, aminek "havonta kb. 1.20€ a költsége" per user. Aztán most már ott tartunk, hogy kell hozzá legalább egy VPS, arra egy "akár desktop OS", arra egy MFA szerver és egy User portál, aminek azért valljuk be, önmagában is van egy jelentős költsége és még csak nem is üzemeltettük. Ez kell ahhoz, hogy legyen egy fentiekkel azonos biztonsági szintem. Ha több kell - mondjuk az integrálandó két csatornás és kétfaktoros azonosítás, akkor jönnek hozzá a járulékos költségek is. Ha a fentiekkel azonos SLA-t szeretnék, akkor viszont kell egy komplett üzemeltetés is. Egyik sincs ingyen.
És közben ott vannak az olyan versenytársak, mint a https://www.duosecurity.com/pricing vagy a https://www.twilio.com/authy, hogy ha már nem én akarok szopni az üzemeltetéssel, akkor hasonló vagy olcsóbb áron tényleg kinyalják a seggem.
Nézzetek már kicsit körül a piacon. Mondjuk az ügyfél szemével.