魅族|Windows操作系統雙因素認證解決方案機械鍵盤|鋁合金|數碼

文章圖片

文章圖片

Windows在桌面操s作系統中的地位不用多說，極其廣泛的應用于家庭和企業辦公場景，隨著網絡安全的威脅趨勢日益加大，采用一套合適的安全工具保護登錄安全至關重要。

【魅族|Windows操作系統雙因素認證解決方案】對于個人筆記本，現在很多電腦已經自帶指紋或人臉識別解鎖模塊，可以非常有效的保護Windows安全登錄，但是對于企業辦公場景，首先很少有電腦自帶指紋和人臉識別模塊，再者企業復雜的辦公場景，也不太適合使用電腦自帶的指紋或人臉識別模塊，所以企業中最常用的就是使用第三方雙因素身份認證系統（2FA/MFA）結合動態口令/動態密碼（OTP）來保護Windows安全登錄，拿中科恒倫雙因素身份認證系統舉例：

只需要兩步：

1、首先單獨部署一臺雙因素身份認證系統；
2、在想要做登錄保護的Windows機器上部署一個專屬的Agent客戶端插件，和雙因素認證認證系統對接實現聯動；

就是這么簡單，我們看下效果對比：

加固前：用戶名、靜態密碼登錄；
△雙因素身份認證登錄改造前
加固后：用戶名、靜態密碼、動態口令登錄；
△雙因素身份認證登錄改造后

我覺得中科恒倫針對Windows安全登錄有兩點做的比較好的地方：

1、考慮到雙因素身份認證服務器宕機的情況下，此時Windows無法向雙因素身份認證服務器發送動態口令請求，所以為了能夠正常使用動態口令安全登錄，中科恒倫的Windows客戶端插件做了動態口令本地認證微服務，當檢測到雙因素身份認證服務器宕機的情況下，會通過本地微服務做認證，這樣用戶就可以正常使用動態口令安全登錄Windows；
2、因為動態口令是采用的時間型令牌，當令牌端和服務端的時間偏差超過設置的容錯值時，是無法認證通過的，但是用戶又特別著急登錄Windows ，針對這種情況，中科恒倫Windows客戶端插件做了超級密碼功能，當動態口令無論如何都認證不通過的情況下，可以使用超級密碼應急登錄，做到不影響業務正常開展；

針對這兩種情況我認為做的還是比較人性化的，能夠很好的考慮到用戶的實際使用需求，做到安全和便捷相結合；
適用于Windows登錄的動態令牌表現形式上分為如兩類：軟件令牌：APP令牌、微信小程序令牌、釘釘小程序令牌

硬件令牌：

采用動態口令保護Windows安全登錄之所以能夠極大的降低暴力破解幾率，主要原因如下：

1、通常情況下動態口令是6位數，每1位由“0-9”10個數字組成，所以每個動態口令有100萬種變化可能；
2、中科恒倫雙因素身份認證系統后臺可以設置錯誤嘗試次數，比如3次，當錯誤超過3次，就會鎖定當前賬號（默認3分鐘后自動解鎖），此時服務端拒絕驗證動態口令，此時被暴力破解的幾率是3/100萬；
3、正常動態碼1分鐘變換1次，所以等3分鐘自動解鎖后，動態口令已經變成了新的，前面的3次嘗試無效，需要從頭開始嘗試，所以整體被暴力破解幾率維持在3/100萬；

由此可見，采用中科恒倫雙因素身份認證系統動態口令做Windows安全登錄加固，可以非常有效的降低被暴力破解風險，體驗上也非常出眾，值得嘗試！