安当加密 | Windows+Linux系统开机登陆双因素认证解决方案

Windows+Linux系统登陆双因素认证 —— 重磅发布

安全事件频发的现在，在单一的静态密码登录验证机制下，非法入侵者若窃听到Windows桌面登录账号的用户名及密码，即可通过合法访问权限访问内部系统，企业信息安全面临挑战；企业为防止账号信息泄露，通常强制要求员工定期更换登录密码，给员工及IT运维人员带来许多不必要的麻烦；其次没有及时收回的账号，离职员工仍然有桌面的合法访问权限，因此额外增加了IT部门的账号回收管理成本。那么在windows办公化的同时，账号安全又如何得到保障呢？

所以在此场景下，就急需创新的认证方式解决当前企业面临的痛点问题------

双因素认证:即在原静态密码的基础上增加一层动态密码认证机制，有效解决用户账号的安全性问题。

01 什么是双因素身份认证?

双因素身份验证（简写为 2FA）是一种需要两个身份验证因素来建立身份的身份验证过程。简言之，它意味着需要用户用两种方式证明自己的身份才能获得访问授权。通常可以使用三种因素来确认身份：

您所拥有的东西 —— 比如银行卡，钥匙或Ukey。
您所知道的东西 —— 比如密码或PIN。
您本身就是生物识别因素 —— 比如指纹，语音，虹膜扫描和其他物理特征。

MFA使用两个或多个因素的任意组合来验证身份并保护重要资产免受欺诈性访问

---

02 为什么使用双因素身份认证？

随着远程员工变得越来越普遍，更强的身份验证也变得越来越重要。由于不能使用员工实际位于办公室这一点来验证他们的身份，因此 2FA 等措施有助于确保他们的帐户没有被盗用。

• 密码安全性能低

基于密码的安全性能在攻击者面前太过不堪一击。网络钓鱼欺诈、在途攻击、暴力攻击和密码重用大行其道，攻击者收集盗窃的登录凭证因此愈发轻而易举。这些被窃取的凭证可以被出售，用于凭证填充攻击。出于此原因，双因素身份验证变得越来越常见。

• 远程身份验证加强

随着远程员工变得越来越普遍，更强的身份验证也变得越来越重要。由于不能使用员工实际位于办公室这一点来验证他们的身份，因此 2FA 等措施有助于确保他们的帐户没有被盗用。

• 密码身份验证易破解

安全专家一般会建议用户在有条件时使用双因素身份验证，还要求那些处理敏感用户数据但目前未提供双因素身份验证的服务采用这种验证方式。虽然双因素身份验证对于攻击者而言并非无懈可击，但比起仅采用密码的身份验证，这种验证方式破坏起来耗费更多精力和成本。

---

03 Windows+Linux系统双因素认证登陆解决方案概述

ASP双因素认证双重保护

静态密码只能对Windows用户的真实性进行低级认证，安当ASP双因素认证在企业桌面原有的静态密码认证基础上增加第二重保护，可通过手机令牌、硬件令牌、安全ukey、手机短信、手机邮箱等多种动态密码认证形式，实现双因素认证，提升账号安全，并且实时记录登录日志，提供用户禁用等有效的控制用户权限。

ASP服务器多类型登录支持

安当ASP服务器提供了动态密码生成及验证，可支持LDAP等账号源。通过安装配置Windows登录组件SLA，指向ASP服务器。用户打开Windows登录时输入用户名和本地静态密码认证时同时输入动态口令或插入硬件令牌，认证通过后即可登录成功。

---

04 Windows+Linux桌面双因素认证使用流程

系统为C/S架构，服务端部署安当ASP身份认证服务平台和客户端部署安当Windows登陆插件SLA。当Windows用户进入登录页面时，输入用户名和静态密码，再输入绑定的OTP令牌或插入Usbkey。

效果如下：

认证流程图 ⇈

登录界面图 ⇈

---

05 丰富的验证方式应对不同的需求

06 可以支持的客户端版本

• Windows7 及更高

• Windows server 2008及更高

• Linux

---

07 使用Windows+Linux双因素身份认证的好处

企业采用ASP双因素认证机制，不但能帮助用户解决windows桌面账号密码管理的问题，有效消除用户经常手动修改windows密码的烦恼，节约了企业账号管理的费用，同时双因素认证可以提高账号密码的安全性，做到账号的双重保护，满足等保等相关合规性要求。