宁盾(MFA)多因素认证 – 作者:宁盾nington

当前对于企业来说静态口令已无法满足信息安全和管理的需要,在使用静态密码时往往会遇到很多问题,如:要记忆或管理的口令太多、太分散、很多静态口令都“终身”使用,不能及时更换、企业领导基本不会更换管理员为其设定的口令、口令维护管理问题层出不穷(忘记密码、用户被锁定等),导致最基本、最简单的口令问题往往成为网络安全罪薄弱的环节。以下现状面临着很大的安全挑战:

1.png

一、产品介绍

宁盾双因素认证由认证服务器及动态令牌两部分组成。认证服务器与动态令牌之间通过“令牌种子”将两者进行关联,“令牌种子”与时钟(服务器、手机皆有内置时间)通过国家密码杂凑算法生成“动态口令”。除手机APP令牌、硬件令牌、企业微信/钉钉H5令牌等动态令牌形式外,还提供推送认证、“扫一扫”、指纹识别等其他认证形式,同时兼容RSA、Google Authenticator等第三方身份验证器。

1宁盾手机App令牌

2.png

2创新型令牌

3.png

二、认证原理:

以SSL VPN登录过程中使用双因素认证为例来介绍OTP(One-time Password)动态口令认证原理:

4.png

三、应用场景

1、移动化办公接入安全

适用于包括VPN、虚拟化、云桌面在内的国内外多品牌设备,用户在账号密码的基础上增加动态密码提升远程办公身份安全。

5.png

2、数据中心基础设施账号安全

异构兼容网络设备、安全设备、服务器、堡垒机、数据库等基础设施,可统一对接账号源,根据角色/用户组等其他条件授权用户认证权限。配合TACACS+ 自定义命令授权及操作审计,实现异构数据中心网络设备的安全认证+ 精细化授权+ 安全审计。

6.png

3、网络接入账号安全

为提升用户入网时身份安全性以及唯一性,宁盾为客户提供“OTP动态口令”及“扫一扫”免密认证形式,可同时适用于有线、无线网络认证:

Ø  动态密码安全加固:当用户终端弹出Portal页面后,用户输入账号及动态密码完成验证(mobile、pc自适应);

Ø  电脑端“扫一扫”免密认证:当用户终端弹出Portal页面后,借助企业微信/钉钉的“扫一扫”功能为Portal接入扫码授权。

7.png

4、业务系统账号安全

随着业务系统上云以及SaaS服务的激增,企业也逐渐意识到业务系统的账号安全保护,包括Office365、OWA、OA及SSO业务系统的账号安全。

8.png

四、产品组成

宁盾身份管理软件平台(DKEY AM)一套;多因子认证令牌n件; 

五、产品价值

1、多账号源兼容:支持本地及外部账号源,兼容AD、LDAP、POP3等多账号源形式;

2、手机令牌派发、激活:支持令牌批量派发、增量派发及自动化派发;用户可通过短信、邮件扫码、自服务平台扫码的形式激活;

3、多级策略管理:提供基于角色、用户组、动态密码暗语前缀、黑白名单、终端过滤等多级策略管理;可同时满足多人控制一个账号,提升重要服务器、数据库的安全监管,避免删库跑路及信息泄漏行为;

4、密码自服务:与AD账号绑定,员工可自通过自服务器自主修改、找回密码,减少运维人员重复劳动成本;

5、安全认证审计:审计用户账号、设备、IP及消息等,限制用户登录次数,并对非法登录账号进行告警;

6、高并发及高可用:支持双机部署,主备机数据同步提升高可用性;

7、客户覆盖率:覆盖中国银行、平安银行、浦发银行、AWS、浪潮、滴滴、知乎、中石油、中石化、南方电网、深圳能源等多行业1000+客户。

来源:freebuf.com 2020-03-25 16:28:08 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论