在账号密码的基础上增加动态密码,或取消静态密码,直接采用账号动态密码认证。双因素动态密码认证(又称:动态密码认证)逐渐被应用于企业核心业务系统及单点登录系统认证。
企业核心应用系统认证逐渐向双因素动态登录转型
受企业移动化影响,多核心应用系统向移动化、轻量化、统一门户单点登录过渡,受弱密码、账号共享、账号泄露等因素影响,企业既无法保证员工核心应用访问安全,也无法根据员工身份进行严格审计。动态密码是每隔一定时间变幻一次的随机密码,一经使用立即失效,不可追溯,防字典轮询和暴力破解,以手机APP的形式还增加了账号密码的隐私性,提升了核心业务系统及单点登录系统的安全性。
SSO账号动态密码认证界面
企业核心应用对双因素认证技术的需求及影响
传统双因素认证主要用于网络基础设施应用场景,如VPN、虚拟化桌面等,用户基数少,对运维成本、厂商技术能力要求主要表现在设备兼容性,访问控制简单。然而,面对企业核心应用数万用户规模,企业对双因素认证厂商的技术能力鉴别、实施运维成本都提出较高要求。其中用户规模数量级支撑及高并发、令牌自动化及运维成本、实施部署周期、API对接能力、高可靠及容灾能力等都成为新市场机遇下企业对双因素认证厂商的重要指标。
| 传统双因素应用市场 | 核心应用领域 | |
|---|---|---|
| 应用场景 | 边缘基础设施应用场景(VPN、虚拟化、网络设备、服务器…) | SSO单点登录、单应用 |
| 用户规模数量级支撑 | 几十个到几百个 | 数万级用户规模 |
| 安全性重要等级 | 重要等级次之。但通常有其他要素的加持。比如即使进入VPN访问其他应用的时候还需要输入用户名密码,再比如网络设备有防火墙的保护。 | 重要等级较高。部分情况下,账号密码成唯一保护屏障。一旦出现弱密码、账号泄漏等情况将直接威胁企业信息安全。 |
| 高可靠、高并发及 容灾能力 | 用户基数小,对认证服务器的要求小,基本都能满足高可靠需求。 | 用户基数大,使用高峰期明显,对高并发、高可靠要求较严。 |
| 令牌自动化及运维 管理成本 | 令牌自动化要求不高,但不影响双因素业务的运行。 | 用户基数太大,运维管理自动化成为首选 |
宁盾动态密码认证在核心应用领域的能力提升
与边缘网络相比,单点登录整合并统一用户源,为多业务系统提供统一认证服务,覆盖企业数万用户。用户规模越大,运维管理成本、高并发、高可靠、容灾能力所占比重越来越重要。
1、统一身份及双因素账号密码安全认证
在账号密码的基础上增加动态密码,形成账号密码动态保护。宁盾动态密码由专业令牌生成器根据国家密码局杂凑算法(SM3)生成,每隔30/60s变化一次。每个动态密码一经使用立即失效,不可追溯。可帮助客户解决:
· 兼容 AD、LDAP、OpenDJ 等多账号源,兼容多应用系统及单点登录,实现统一身份认证及账号加固;
· 避免账号密码增加、删除、密码记忆难、僵尸账号等对应用场景的影响;
· 避免账号密码共享,增强账号登录审计,即使把验证码给别人使用,本人也有不可推卸的责任;
· 降低账号密码泄漏及弱密码对核心业务的影响,即使账号密码无意泄漏,在没有动态密码的情况下也无法登录。
2、与常用工具集成及令牌开放性
· 与常用工具企业微信、钉钉集成,免APP维护成本,提升用户体验;
· 兼容第三方认证令牌(RSA SecurID,Google Authenticator),提供过渡式解决方案,降低研发投入及代码维护成本。
3、令牌自动化及运维管理成本
· 支持增量派发、批量派发以及自动派发的方式派发令牌;
· 为用户提供短信、邮件、自服务平台等方式自助激活令牌;
· 支持自动绑定令牌及令牌解绑账号失效功能,即账号创建的同时,自动派发令牌,令牌解绑的同时,账号功能失效。
· 丰富的API对接产品,帮助客户实现多应用场景快速对接,缩短部署周期。
4、认证审计及安全策略管理完善
完善基于用户源、用户组、用户角色、登录认证、动态密码前缀等方式的安全策略管理及认证审计。非法登录自动告警及管理员审计,提升管理安全及登录认证安全。
5、数量级规模及高并发
5、数量级规模及高并发面向数万级用户规模,宁盾在滴滴、宜信等客户均取得数万级用户稳定支撑,满足高峰期办公网络认证高并发需求。高并发测试如下:
线程数:1
每线程请求数量:10000
| No. | 响应时间 | CPU占用率 | IO占用率 |
|---|---|---|---|
| 1 | 87.8s | 5.1% | 10.3MB/S |
| 2 | 88.8s | 5.6% | 13.2MB/S |
| 3 | 111.0s | 5.2% | 10.5MB/S |
线程数:10
每线程请求数量:1000
| No. | 响应时间 | CPU占用率 | IO占用率 |
|---|---|---|---|
| 1 | 12.9s | 45% | 12.3MB/S |
| 2 | 10.7s | 50% | 14.7MB/S |
| 3 | 11.3s | 47% | 22.5MB/S |
线程数:100
每线程请求数量:1000
| No. | 响应时间 | CPU占用率 | IO占用率 |
|---|---|---|---|
| 1 | 77.3s | 75% | 44.6MB/S |
| 2 | 76.9s | 74% | 38.3MB/S |
| 3 | 76.3s | 76% | 43.1MB/S |
6、高可靠及容灾能力
多分支站点统一认证可采用1+N部署模式。总部与各分支同时部署认证系统及数据库,各认证系统连接本地数据库,总部与各分支数据库之间双向同步。当某分支服务出现异常时,不会影响其他分支用户。此模式需要用户方有专门的DBA工程师进行部署及维护。另外采用配置实时备份、双机热备提升故障恢复及容灾能力。
7、产品兼容性及可扩展性
除上述单点登录及核心应用外,宁盾双因素认证还兼容VPN、虚拟化(Citrix、VMWare、华为云)、网络设备、堡垒机、KVM、服务器、数据库等基础设施及有线无线网络认证及OWA、SharePoint、ADFS等应用场景,并支持Cisco、华为、H3C、CheckPoint、Paloalto、Hillstone、Juniper、Fortinet、F5、深信服、锐捷、信瑞、天融信等国内外厂商建立良好的合作关系,为企业提供全方位一体化安全认证平台。智联招聘、滴滴出行、人人贷….越来越多客户,将动态密码应用于核心应用。
来源:freebuf.com 2018-11-14 09:36:53 by: 宁盾nington
请登录后发表评论
注册