软件（虚拟令牌）2因素身份验证？

Question

我的公司一直在探索为我们的网站实施2FA。在查看了几个产品和2FA wiki页面之后，虚拟令牌似乎是最便宜的解决方案，可以满足我的要求：B1

1. 不是硬件令牌（所以没有yubikey，securid等），但这是由于成本限制
2. 客户端无法安装任何软件，例如Java Applet，ActiveX插件，exe在桌面上运行
3. 很可能不能使用“网格”（可能不符合508）
4. 不要求用户使用手机（排除google auth和其他一些基于移动设备的解决方案）
5. 非生物识别（因为它很可能需要安装硬件或软件）
6. 如果我们必须违反1），它必须易于部署且便宜（我们的用户列表不断变化[按项目]并且位于不同的位置）

我看了几个“虚拟代币”，包括“Sestus”，我看不出这些是“真正的”2fa。它不需要安装任何软件，完全基于浏览器。 2fa基于可通过浏览器获得的信息，例如用户代理，这似乎很容易被欺骗。

我在这里发现了一个类似的问题：Is a software token a valid second factor in multi-factor security?但它已超过2年了。

此时，与yubikeys合作是最可行且最具成本效益的解决方案吗？

Answer 1

Sestus'虚拟令牌（R）解决方案是一种真正的多因素身份验证方法。它被FFIEC，HIPPA，CJIS和PCI监管公司使用，包括美国财政部。虚拟令牌（r）MFA确实在用户的设备上放置了一些数学密钥。它使用用户已经拥有的软件（他们的浏览器）来实现这一点。因此，不必向用户部署新软件。