远程办公最早在上世纪80年代的硅谷流行。在疫情仍在全球肆虐的当下，远程办公方式受到众多企业的推崇。对于一些集团化或多分支机构的企业组织，员工通过VPN、云桌面、虚拟化桌面等方式远程访问总部内网资源已成为职场日常。

然而，员工在使用VPN、云桌面、虚拟桌面等软件时安全意识薄弱，长期使用单一密码，致企业内存在大量弱密码，极易给不法分子可乘之机，为企业信息资产安全埋下隐患。随着国家、企业组织对网络安全、信息安全的重视，加强远程办公登录的安全需求日益突显。

01项目背景

某汽车养护企业，中国领先的汽车消费者服务平台和后市场行业的解决方案提供商，在全国拥有2600+工厂店、20000+合作店，服务能力覆盖31个省直辖市、405个城市，员工规模达50000人。用户可以在平台官网、APP、电话、微信平台上享受专业的365天*16小时的售前售后服务。截至2018年，该企业平台月活数超400万人，成为深受中国消费者信赖的汽车养护电商平台。

目前，该企业采用Cisco思科VPN支撑远程办公，员工使用AD域账号密码直接登录VPN访问企业内网。随着业务规模的不断增长，远程办公人数也在成倍增加，域账号+静态密码已无法满足企业安全管理的需求。为加强VPN登录时账号密码安全，企业迫切需要一套双因子认证（2fa）方案解决当前问题，且新方案必须快速上线，并减轻运维压力。

宁盾的技术服务人员经过与该企业IT人员沟通讨论，确定了双因子认证系统要具备的特性：

• 要能与思科VPN无缝对接，具备高稳定性及高可靠性；

• 用户登录身份验证是AD域控密码和动态码的组合；

• 系统要具备灵活的扩展、联动能力，以便满足未来更多的安全建设规划；

• 实施周期要短，快速部署上线，并能提高运维效率。

02解决方案

为了能够解决该企业Cisco思科VPN系统登录弱密码问题，宁盾为该汽车养护企业部署了一套双因子认证系统，增强VPN系统登录安全。

双因子认证（2 Factor Authentication，简称2fa）是指在原有账号密码认证的基础上增加一种认证方式，如动态密码、指纹、面部识别等，只有两种认证都通过，才能登录账号。宁盾双因子认证（2fa）采用动态密码形式，用户可根据需要选择短信、手机APP令牌等动态密码形式，用于为企业员工、IT管理人员、访客等接入企业网络、业务系统或网络设备时提供便捷安全的动态口令认证，同时减小企业密码管理成本。

在企业服务器上部署宁盾双因子认证系统时，用户源对接企业AD域50000个账号，使用双因子认证（2fa）的两个部门共5000人，分为两种令牌形式：2000个企业微信H5令牌与3000个手机APP令牌。当员工在登录Cisco思科VPN时，输入AD域账号及密码，验证成功后再提示输入动态口令进行二次认证，认证成功后即可登录访问企业内网。

利用AD用户名、密码登录：

上一步登录成功之后，宁盾提供动态密码，进行二次认证：

输入TOKEN值进行二次认证：

双因子认证（2fa）成功：

H5令牌作为小程序嵌入在企业微信工作台中，由IT运维人员配置后统一上线，被授权的员工在企业微信电脑端或移动端打开底部工作台即可查看H5令牌。

手机APP令牌则需员工自行下载后激活，支持iOS(iPhone、iTouch)、Andriod版本。它是基于时间同步方式，每隔60秒产生一个随机6位动态密码，口令生成过程不产生通信及费用，具有使用简单、安全性高、成本低、无需携带额外设备、容易获取、无物流等优势，手机令牌是信息化时代动态密码身份认证的发展趋势。

03方案亮点

• 提升身份认证安全：动态密码无法猜测，且一次使用有效，有效解决静态密码被窃取后导致的非授权访问问题；
• 减小密码管理成本：通过动态密码生成器或短信获取动态密码，免除为了满足密码合规而定期修改高强度密码带来的工作以及密码遗忘引起无法正常办公及IT支持成本；
• 现有账号认证体系兼容：无缝支持AD/LDAP账号源，与现有账号密码体系配合；
• 多种认证方式并存：支持多种认证形式，如H5令牌与手机APP令牌，以及短信令牌、邮件令牌、硬件令牌等；
• 设备兼容性良好：能够兼容几乎所有的企业级网络设备接入、Radius应用级产品的接入、操作系统及主流的企业级应用产品，如Cisco、Citrix、华为等；
• 支持渐进式部署：在大企业中，可通过部署策略定向为不同批次用户逐渐开启双因素认证（2fa），避免系统风险；
• 便捷运维：整套系统具备高可靠性，轻量化运维，当启动自服务平台时，员工可自助解绑、激活令牌，减轻运维人员工作量。

04客户收益

从部署双因子认证系统，完成Cisco 思科VPN对接，到5000个令牌派发，仅仅用了3天时间。不仅有效解决员工远程办公账号安全需求，同时降低了IT运维压力。用户的收益包括：

• 提升VPN用户登录安全：消除弱身份鉴别带来的潜在信息泄漏风险；
• 缩短上线时间：软件系统交付，3天时间快速上线；
• AD账户联动：确保了用户的账户登录的一致性体验；
• 减轻运维压力：减小静态密码遗忘或定期强制更改登录密码给员工与IT管理人员带来的开销，节约企业管理成本；系统自动管理注销账号的令牌，提高IT运维管理效率；
• 完整的安全审计：用户登录有留存，信息资产使用状况更明确；
• 成本优势显著：后期扩容、升级维护简单。

该企业依托稳定、可靠、安全的宁盾双因子认证系统，利用动态密码认证加固了VPN远程办公账号安全，从“人员”的身份安全源头保障了企业内网安全。

利用VPN、云桌面、虚拟桌面等软件远程办公已成为办公日常，无论是国家政策要求，还是企业出于信息安全角度考虑，加强账号安全都已是必然趋势。采用双因子认证（2fa）加强身份鉴别保障远程办公账号安全，助力企业提升内网资产安全，才能更好应对数字化转型。