一、 背景需求
随着企业移动化转型,员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。 另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。
二、 解决方案
传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。
多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次,一次一密。用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。 1、
多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企
业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google身份验证器等第三方动态令牌形式。更为关键的是,创新性的将
企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。
2、
动态密码派发方式:支持批量派发、增量派发及自动派发令牌,
通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。 3、
令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可
通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。 4、
持有国密证书:令牌及认证服务器持有国家密码管理局颁发的
《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。
三、 效果展示
通过将认证服务器与Office 365 对接,用户登录时,首先输入账号
密码,其次在动态密码弹框中输入6位动态密码进行验证。认证成功即可登录。
四、 方案价值 1、 2、 3、
多令牌形式,满足不同场景需求;
认证过程一次一密,提升账号密码认证安全;
全场景覆盖,满足数据中心基础设施(VPN、虚拟化、网络设
备、堡垒机、服务器、云主机、数据库等)、网络层有线无线身份认证及应用层单点登录的安全认证需求。 4、 5、 6、 7、
灵活的派发方式,自动过滤已派发用户; 无需定期修改密码,节省运维劳动成本; 兼容AD、LADP等多种账号源;
与TACACS+协议分权而置,实现异构网络设备的统一安全认
证、命令行授权及审计; 8、
消息预警及登录审计,审计用户的登录登出事件、访问设备、
及成功与否,将危险或超时登录终端高警至管理员和直接责任人; 智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场,并以技术为导向,于2013年正式上线网络认证系统,形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi认证管理等多个产品线于一体的全场景解决方案。
相关推荐:
loading