软件(虚拟令牌)2因素认证？

Question

我的公司一直在探索为我们的网站实施2FA。在回顾了几种产品和2FA wiki页面之后，虚拟令牌似乎是最便宜的解决方案，可以满足我的以下需求：

1. 不是硬件令牌(所以没有yubikey、securid等)，但这是由于成本限制
2. 客户端没有安装要在桌面上运行的软件，如Java、ActiveX插件、exe
3. 很可能无法使用“网格”(可能不是508兼容的)
4. 不要求用户拥有手机(排除了google和其他一些基于移动的解决方案)
5. 非生物识别(因为它很可能需要硬件或软件安装)
6. 如果我们必须违反1)，它必须易于部署和便宜(我们的用户列表不断变化的项目和非常不同的位置)

我看过一些“虚拟令牌”，包括"Sestus“，我看不出这些是如何”真实“的2fa。它不需要安装任何软件，完全是基于浏览器的。2fa基于浏览器(如用户代理)获取的信息，这似乎很容易被欺骗。

我在这里发现了一个类似的问题：Is a software token a valid second factor in multi-factor security?，但它已经2年多了。

在这一点上，是否最可行和最具成本效益的解决方案与yubikeys？

Answer 1

Sestus的虚拟令牌(R)解决方案是一种真正的多因素身份验证方法.它被FFIEC、HIPPA、CJIS和PCI受监管的公司所使用，包括美国财政部。虚拟令牌(R) MFA确实在用户的设备上放置了一些东西，一个数学密钥。它使用用户已经拥有的软件(他们的浏览器)实现了这一点。因此，不需要向用户部署新的软件。