多因素身份验证的开源替代方案：privacyIDEA

双因素身份验证或多因素身份验证不再仅仅是技术人员的话题。互联网上的许多服务都提供它，许多最终用户也需要它。虽然普通最终用户可能只意识到他们喜欢的网站要么提供 MFA，要么不提供，但幕后还有更多内容。

双因素市场正在变化，而且变化迅速。新的身份验证方法不断涌现，传统的供应商正在合并，产品也在消失。

最终用户可能根本不在意，但希望为其用户要求多因素身份验证的组织和公司可能会想知道该转向哪里以及该押注哪家。

像 Secure Computing、Aladdin、SafeNet、Cryptocard、Gemalto 和 Thales 这样的公司几十年来一直为组织提供身份验证解决方案，并且在过去十年中参与了合并和收购的循环。而用户是受害者。当 IT 部门认为他们正在推出一家成功供应商的可靠软件时，几年后，他们却面临产品寿命终止的问题。

云如何改变事物

1986 年，RSA 发布了 RSA SecurID，这是一种物理硬件令牌，它根据未知的专有算法显示神奇数字。但是，将近 20 年后，由于开放身份验证倡议，HOTP (RFC4226) 和 TOTP (RFC6238) 被指定——最初用于 OTP 硬件令牌。

SMS Passcode 专门通过发送短信进行身份验证，成立于 2005 年；无需硬件令牌。虽然其他本地部署解决方案将身份验证服务器和注册限制在封闭环境中，但使用 SMS Passcode，身份验证信息（秘密短信）通过移动网络传输给用户。

iPhone 1 于 2007 年发布，Android 手机也紧随其后。DUO Security 成立于 2009 年，是一家专门的云 MFA 提供商，智能手机充当第二因素。这两家供应商都专注于新的第二因素——带有短信的手机或带有应用程序的智能手机——并且他们提供和使用了不再是公司网络一部分的基础设施。

传统的本地部署供应商开始转向云，要么通过提供他们的新服务，要么收购拥有云解决方案的小型供应商，例如 SafeNet在 2012 年收购 Cryptocard。对于传统供应商来说，提供云服务似乎很诱人——无需本地软件更新、无需支持案例、无限扩展和无限收入。

即使是老牌巨头 RSA 现在也提供“云身份验证服务”。将身份验证服务放在云端难道没有道理吗？数据托管在 Azure 等云服务中，身份托管在 Azure AD 的云中，那么为什么不使用 Azure MFA 将身份验证放在那里呢？这种方法对于采用完全以云为中心方法的公司可能是有意义的，但它也可能将您锁定在一家特定的供应商中。

云似乎也是多因素身份验证的一个重要主题。但是，如果您想保持本地部署怎么办？

多因素身份验证技术的现状

自 1986 年 RSA 推出其首个 OTP 令牌以来，多因素身份验证也经历了漫长的发展历程。几十年前，高薪顾问通过推广 PKI 概念谋生，因为智能卡身份验证需要一个可用的证书基础设施。

在拥有 OTP 密钥卡令牌和带有 HOTP 和 TOTP 应用程序甚至推送通知的智能手机之后，当前最先进的身份验证似乎是 FIDO2/WebAuthn。虽然 U2F 仅由 FIDO 联盟指定，但 WebAuthn 是由 W3C 指定的，好消息是，基本要求已集成到除 Internet Explorer 之外的所有浏览器中。

但是，应用程序在支持 Webauthn 时仍然需要添加大量代码。但 WebAuthn 允许使用新的身份验证设备，例如平板电脑、计算机和智能手机中的 TPM 芯片或廉价且小型化的硬件设备。但 U2F 当时看起来也不错，甚至它也没有取得突破。WebAuthn 会成功吗？

因此，现在是充满挑战的时期，因为目前您可能无法使用 WebAuthn，但在两年后，您可能想要使用它。因此，您需要一个允许您调整身份验证机制的系统。

获取实际需求

当您要选择灵活的多因素身份验证解决方案时，这是首要要求之一。仅仅依靠短信、单一智能手机应用程序或仅 WebAuthn 令牌是行不通的。智能手机应用程序可能会消失；WebAuthn 设备可能不适用于所有情况。

在查看合并和收购时，我们了解到这已经发生并且可能再次发生；软件会停止生命周期，或者供应商会停止他们的云服务。有时，只有最后几个月会让人感到痛苦，因为销售终止意味着您无法购买任何新的用户许可证或让任何新用户加入！为了获得持久的解决方案，您需要独立于云服务和供应商决策。最安全的方法是选择开源解决方案。

但是，当选择开源解决方案时，您希望获得一个可靠的系统，可靠意味着您可以确保获得不会破坏的更新，并且错误会得到修复，并且有人可以咨询。

一个开源替代方案：privacyIDEA

自 2004 年以来在双因素市场中积累的经验已融入开源软件替代方案中：privacyIDEA。

privacyIDEA 是一个开源解决方案，提供各种不同的身份验证技术。它最初从 HOTP 和 TOTP 令牌开始，但也支持短信、电子邮件、推送通知、SSH 密钥、X.509 证书、Yubikey、Nitrokey、U2F 以及更多。目前，正在添加对 WebAuthn 的支持。

令牌类型的模块化结构（作为 Python 类）允许快速添加新类型，使其在身份验证方法方面最具灵活性。它在您网络的中心位置本地运行。这样，您就可以保持灵活性，控制您的网络，并跟上最新的发展步伐。

privacyIDEA 配备了强大而灵活的策略框架，使您可以根据自己的需要调整 privacyIDEA。独特的事件处理程序模块使您能够将 privacyIDEA 融入到您现有的工作流程中，或创建最适合您场景的新工作流程。它也与其他身份和身份验证解决方案（如 FreeRADIUS、simpleSAMLphp、Keycloak 或 Shibboleth）良好协作。这种灵活性可能是像万维网联盟和 Axiad 这样的组织使用 privacyIDEA 的原因。

privacyIDEA 是在GitHub上开发的，并由一家总部位于德国的公司提供全球范围内的服务和支持。