继H5令牌、邮件令牌等新型认证形式,宁盾推送认证Push Notification Authentication面世啦,又双叒一次扩充了宁盾MFA形式~~
实际上,在11月初我们发布的宁盾令牌V4.0.1,就已经更新了此功能,因其易用性,目前已有部分客户升级使用中了。
推送认证借助宁盾令牌APP,主动向用户推送二次身份验证消息,用户仅需在手机上点击做授权就能实现认证,不用再输入6位数字动态码,是一种更便捷的、移动化的MFA形式。
用户仅需点击一次做认证授权 VS 需要输入6位令牌动态码
推送认证优势
快捷免输入,既对用户认证做了二次验证,同时简化了用户操作过程;
基于APP令牌的移动化认证方式,非常适合云和移动化办公场景;
相对于短信认证方式,手机端一键授权还能降低短信数字码被劫持的潜在风险。
应用场景
所有需要借助二次身份验证对登录安全做加固的地方,都能启用推送认证,包括VPN、虚拟桌面、服务器、邮箱、重要业务系统及云应用等等。不过,因是依托宁盾令牌APP实现,所以仅手机令牌用户能体验到。
认证策略
既往策略都可应用到推送认证上,包括用户过滤、角色过滤、终端MAC绑定过滤等,可根据实际情况灵活利用。
推送认证流程
涉及到如下几个节点:
AM:宁盾MFA认证系统,通常部署在企业内网。
Mobile Connector(手机令牌连接器):宁盾推送认证云平台,部署于公网,会将待推送的消息发送至手机推送平台。
手机推送平台:华为、小米、iOS、谷歌及其他消息推送服务,负责将待推送的消息发送至用户手机中的宁盾令牌APP。不同的手机型号有相对应的手机推送服务平台,比如小米手机会采用小米推送(Mi Push),华为手机会采用华为推送(Huawei PUSH)。
DKEY Token:宁盾令牌APP,安装在最终用户手机。
流程如图:
说明:
第②步,AM向Mobile Connector发起推送请求时,会一并发送用户的令牌序列号。
第③步,Mobile Connector根据接收到的令牌序列号查到对应的推送ID(推送ID:每个宁盾令牌APP向手机推送平台获取的全局唯一ID。手机推送平台通过此ID来识别手机APP,并向对应的手机APP推送消息。),请求手机推送平台推送至该ID对应的手机APP中;
另外,可以看出使用推送认证需要一个前置条件:AM服务器与部署在公网中的推送认证云平台(Mobile Connector)需保持通信。
推送安全性
1、推送内容只能在与指定推送ID绑定的宁盾令牌APP中打开,因此用户可以判断出是否是本人在尝试登录,然后快速同意或拒绝验证。
2、在认证交互过程中,通过数据签名和验签处理,对报文摘要哈希加解密,保证数据的真实性、完整性,不会有被摹写和伪造的风险。
推送稳定性
宁盾已集成了华为、小米、iOS、谷歌等主流手机厂商、操作系统的推送平台,以及腾讯信鸽等第三方移动推送平台,确保国内国外各品牌机型用户都能获得稳定可靠的认证体验。
关于推送认证及宁盾MFA产品的的更多功能、技术细节,请联络宁盾技术人员或拨打服务热线400-658-2855详询。
来源:freebuf.com 2020-01-16 17:08:40 by: 宁盾nington
请登录后发表评论
注册