宁盾多因子认证(MFA)与Outlook安全认证方案

一、背景需求

随着企业移动化转型，员工允许随时随地办公。弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案

传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。令牌形式因多因子呈现方式不同而有所区别。认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。动态密码每隔30/60s变化一次，一次一密。用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。更为关键的是，创新性的将

企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示

通过将认证服务器与outlook对接，用户登录时，首先输入账号密

码，其次在动态密码弹框中输入6位动态密码进行验证。认证成功即可登录。

四、方案价值

1、多令牌形式，满足不同场景需求；

2、认证过程一次一密，提升账号密码认证安全；

3、全场景覆盖，满足数据中心基础设施（VPN、虚拟化、网络设备、堡垒机、服务器、云主机、数据库等）、网络层有线无线身份认证及应用层单点登录的安全认证需求。

4、灵活的派发方式，自动过滤已派发用户；

5、无需定期修改密码，节省运维劳动成本；

6、兼容AD、LADP等多种账号源；

7、与TACACS+协议分权而置，实现异构网络设备的统一安全认

证、命令行授权及审计；

8、消息预警及登录审计，审计用户的登录登出事件、访问设备、及成功与否，将危险或超时登录终端高警至管理员和直接责任人；

智能安全接入，从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场，并以技术为导向，于2013年正式上线网络认证系统，形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。