从“三明治”的角度分析双因素认证
作者:星期二, 四月 24, 20180

掐指一算,不到十天就五一了,内心有点小激动的我开始了打起了我的小算盘,
人间最美四月天,五一野餐你带啥?
答曰:三明治啊。
制作简单,便于储存,有菜有肉,营养均衡,非三明治不选啊。
哈喇子直往下流…

好吃的三明治必须要料足,两片面包岂能满足我躁动的内心,先铺一层火腿和里脊,不够营养再加一层鸡蛋,不够健康再加一层番茄,太腻加一层蔬菜,perfect!我就这样静静的看着,内心泛滥着无限的小悲伤…

看着看着,我竟从三明治里悟到了双因素认证的表相,即在认证登陆的时候,先输入用户名,不够安全再输入密码,还不够安全最后输入动态密码,还可以是指纹识别、面部识别…认证成功,好比咬了一大口刚做好的三明治,完美。敬我是个吃货…

动态密码输入界面

当然,双因素认证的原理要比三明治的制作难的多。宁盾双因素认证是面向企业的强身份认证管理平台,由认证服务器及动态密码生成器两部分组成 。通过将认证服务器与企业原应用场景对接,在用户帐号密码认证的过程中新增动态密码认证请求,实现账号密码认证加固。其中动态密码生成器是由令牌种子与UTC时间通过SM3算法(中国国家密码管理局在2010年发布)生成的一次性时间令牌。令牌形式可包括手机令牌、短信令牌、硬件令牌、微信令牌等形式,该令牌每隔固定时间变化一次,任何一个动态密码能且仅能认证一次,具有防电子侦听、暴力穷举等优势。

令牌批量派发与回收

认证前,需首先将用户身份与动态令牌进行绑定,可支持AD、OpenDJ、OpenLDAP、IBM TDS、DB及第三方账号源。为提升企业运维管理效率,宁盾双因素认证平台可支持批量派发与增量派发(自动忽略已绑定用户),员工通过邮件或自服务平台扫码进行自助激活。对于离职员工的令牌回收,可通过解除绑定或禁用用户,保障企业信息资产安全。

支持一个用户绑定多个令牌,亦可支持一个令牌绑定多个应用场景

为实现多业务场景统筹管理,宁盾双因素令牌可支持一个用户绑定多个令牌,实现不同令牌控制不同业务场景;亦可支持一个令牌绑定多个场景,以节约企业资产。

多令牌与多应用对接

兼容第三方令牌系统

解决企业对令牌系统到期(现有产品无法满足要求、服务不满意或者不可抗原因(退出市场)等)后平滑过渡新的令牌认证服务,降低企业安全风险,宁盾方案可以帮助客户:

(1)第三方令牌使用的员工验证不需要做任何修改;
(2)通过宁盾令牌解决新增员工或者到期令牌使用问题;
(3)快速上线,员工无感知,不影响业务使用以及流程修改;

第三方认证服务器兼容

全场景覆盖

包括中国银行、滴滴出行、摩拜、51talk、达美乐披萨在内的数百家中大型企业选择了宁盾双因素账号加固解决方案。手机令牌支持logo自定义 ,变化周期及密码位数自定义,可兼容VPN、Citrix、VMWare View、OWA/WEB、网络设备、服务器及云服务器等场景。具体可划分为:

移动办公场景:以虚拟化桌面、VPN及部署在公网的应用系统,是最易被账号密码字典轮询攻击的场景,应优先采用双因素认证。

VPN登录界面

运维管理:以堡垒机作为运维入口是运维场景直接关系到内部网络安全,需要优先考虑双因素账号加固,另外可支持网络设备、服务器虚拟化、跳板服务器、核心数据库(如orcale)的账号密码认证加固。

交换机登录界面

公有云:随着云主机(AWS、阿里云、Azure)、云应用(office365)逐渐进入企业,公有云入口安全成为企业关注的焦点,统一身份及账号安全加固亦越来越重要。

云服务器登陆界面

无线网络:随着移动办公、BYOD进入企业及各种蹭网的设备,传统SSID密码接入企业网络的方式已不再安全,通过部署宁盾一体化有线无线认证解决方案,用户接入网络时,需在终端完成身份认证后,才允许接入网络。但此时员工同样面临账号密码被盗、被他人使用的情况,为保障员工利益,可在无线portal认证系统中对接双因素认证系统,增强员工账号密码安全。

无线portal认证双因素登陆界面

另外,为更好和企业业务对接,宁盾双因素认证系统可支持本地和云两种部署方式,满足企业云及移动化数字化转型需求。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章