宁盾多因子认证(MFA)与office365安全认证方案
宁盾DKEY双因子认证平台V4.1
特色:
l 无需携带任何认证终端 l 管理员集中配置,部署便捷 l 常用于Citrix及SSL VPN l 可以根据安全需求,灵活短信密码有效期 l 宁盾短信密码是国内与各种应用系统集成最多的方案 上海宁盾信息科技有限公司
—— NDKEY 令牌类型
2、用户将动态密码(短信接收或令牌产生),填入二级认证页面,并提交至 DKEY AM进行鉴权;
上海宁盾信息科技有限公司
—— 虚拟应用&虚拟桌面登录
VMWare客户越来越亲睐宁盾方案,而放弃RSA Securid
DKEY双因子认证是一套提供动态密码生成、认证和审计功能的系统,将动态密码与原有 账号密码认证结合,实现双因子认证保障,有效保护企业应用系统安全,同时能够帮助企 业实现对访客的审计。
上海宁盾信息科技有限公司
—— 功能简介
DKEY TMS 组成
动态密码器
用于动态密码生成或接收,由用户持有; 短信密码、硬件令牌、手机令牌三种形式供选择。
上海宁盾信息科技有限公司
—— DKEY TMS 简介
上海宁盾信息科技有限公司
—— DKEY TMS 简介
宁盾拳头产品,是目前使用体验最好的企业级动态密码认证
双因子动态密码认证
上海宁盾信息科技有限公司
—— 功能简介
双因子认证 = 静态密码 + 动态口令
上海宁盾信息科技有限公司
—— 动态口令简介
DKEY动态口令如何产生?
时间型令牌 DKEY SERVER
Token Seed
EMM移动业务安全解决方案介绍
动态令牌
硬件特征码
第三方接口认证
免密认证服务
EMM解决方案安全建设技术 - 业务系统防护
业界连续11年领先的SSL VPN接入网关
接入网关
原来:明文传输
现在:国产密码/国际商用密码 加密传输
业务服务器
安全隧道
EMM解决方案安全建设技术 - 传输安全
全自动,无需开发人员参与。
高体验,启动APP自动拉起客户端并建立VPN隧道。
SaaS OA
典型超级APP:企业微信、钉钉
EMM解决方案- 超级APP场景
防监听、窃取、篡改
保护业务服务器
现在:国产密码/国际商用密码 加密传输
原来:明文传输
国内唯一与企业微信、钉钉进行方案合作的EMM厂商
EMM解决方案 - 专机专用 & 等保合规 场景
单桌面模式
双桌面模式
厂商深度集成方案
融合通用方案(含Android DeviceOwner和多种辅助技术)
基于消费级手机研发,采购成本更低。
累计防护: 999999次
风险设备: 1台
1 2 3 ... 100
EMM解决方案安全建设技术 - 应用安全报表
为应用上线后的审计追溯和安全风险提供数据支撑。
更全面的审计追溯能力
EMM解决方案汇总
EasyWork+(接入安全 + 终端数据安全 + 终端安全)
业务系统防护
EMM解决方案安全建设技术 - 终端环境检测与准入
自动识别终匹配端型号,同时适用于BYOD和CYOD。
防主动泄密
防被动泄密
EMM解决方案安全建设技术 - 应用层双域隔离
完整的数据防泄密体系,更全面的保撑企业数据资产安全。
宁盾多因子认证(MFA)与微软ADFS安全认证方案
一、背景需求随着企业移动化转型,员工允许随时随地办公。
弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。
另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。
假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。
二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。
多因子认证解决方案由认证服务器和动态令牌组成。
令牌形式因多因子呈现方式不同而有所区别。
认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。
动态密码每隔30/60s变化一次,一次一密。
用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。
1、多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google 身份验证器等第三方动态令牌形式。
更为关键的是,创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。
同时开发指纹识别、人脸识别等多因子认证方案。
2、动态密码派发方式:支持批量派发、增量派发及自动派发令牌,通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。
企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。
3、令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。
4、持有国密证书:令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。
三、效果展示通过将认证服务器与Office 365 对接,用户登录时,首先输入账号密码,其次在动态密码弹框中输入6位动态密码进行验证。
云主机双因素认证解决方案
云主机双因素认证解决方案一、面临挑战由于云计算技术的兴起,越来越多企业已经搭建自己的公有云服务器,将数据托管于云服务商的数据中心。
企业上云是时代发展的大势所趋。
而公有云的公有性,导致云主机的安全问题也受到前所未有的考验。
企业对公有云数据的掌控力度减弱,一旦出现重要数据泄露、丢失或损坏将会对企业造成巨大危害。
公有云服务商的数据安全服务和数据备份措施是为保证整个数据中心的数据安全而进行的,并没有针对某个企业或某些数据的特别举措。
因此企业有必要加强自有云主机登录保护,为保障云数据安全设置第一道防线,通过双因素认证,防止密码共享、密码泄露现象,避免非法越权操作。
二、解决方案1.云主机双因素认证解决方案概述静态密码只能对云主机用户身份的真实性进行低级认证。
宁盾双因素认证在企业云主机原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。
宁盾一体化认证平台负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管云主机帐号的静态密码认证工作。
通过在云主机配置第三方RADIUS认证,指向宁盾一体化认证平台(内置RADIUS SERVER)。
用户接入云主机进行静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,验证通过之后方可放行。
2.宁盾动态密码形式短信令牌基于短信发送动态密码的形式。
在用户完成云主机静态密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。
密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。
手机令牌基于时间的动态密码,由手机APP生成。
基于时间同步技术,宁盾令牌APP 每60秒随机生成一个独一无二的动态验证码,宁盾一体化认证平台能够验证这个变化的密码是否有效。
宁盾多因子认证(MFA)与深信服EMM安全认证方案
一、背景需求随着企业移动化转型,员工允许随时随地办公。
弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。
另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。
假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。
二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。
多因子认证解决方案由认证服务器和动态令牌组成。
令牌形式因多因子呈现方式不同而有所区别。
认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。
动态密码每隔30/60s变化一次,一次一密。
用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。
1、多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google 身份验证器等第三方动态令牌形式。
更为关键的是,创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。
同时开发指纹识别、人脸识别等多因子认证方案。
2、动态密码派发方式:支持批量派发、增量派发及自动派发令牌,通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。
企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。
3、令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。
4、持有国密证书:令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。
三、效果展示通过将认证服务器与深信服EMM对接,用户登录时,首先输入账号密码,其次在动态密码弹框中输入6位动态密码进行验证。
关于企业攻防演练中弱密码安全整治的几点建议
在一次网络安全攻防演习中,由弱口令导致的攻击事件简直惨不忍睹。
弱密码、空密码、单一密码、内置密码、明文密码等逐一被挖掘出来。
其中涉及的不乏有企业重要业务系统、重要基础设施的账号登录保护。
对此,总结了一些小的建议和大家分享一下:1、重要领域增设双因子验证为重要基础设施及核心应用系统增加双因子认证,尤其是核心网络设备、安全设备、邮件系统等其他重要业务系统的登录验证。
双因子动态验证是通过在账号密码的基础上增加动态口令验证环节提升账号密码身份验证强度,从而达到强化身份验证的效果。
动态口令是由动态令牌根据特定算法(国内建议国密算法)每隔固定时间生成一次。
每个口令不可复用,一旦使用立即失效,因为确保了每一次的验证都是唯一的。
面向多场景的安全认证,动态令牌选择的关键在于双因子认证服务器应用场景的兼容性。
双因子产品的兼容性越强,企业可以使用的双因子认证领域越多,比如VPN、虚拟化、网络设备、安全设备、服务器、堡垒机等核心基础设施及邮件系统、多应用系统单点登录(office365、salesforce、SAP等多业务系统的统一登录入口)。
2、定期修改密码,并增强账号密码设置难度已对接双因子认证的领域,双因子动态口令的时效性有效的解决了弱密码破译、账号密码泄漏的安全隐患。
没有对接双因子认证的场景,还需从密码上进行管理,比如定期修改密码、增强密码设置难度等。
对比由管理员负责集中式管理方式,可以采用去中心化的方式对账号密码的定期更改方案。
比如,管理员在认证服务器设置了密码的有效期为30天,在密码过期的前两天开始提醒用户前往指定位置进行修改,同时设置密码强度,提升密码被破译的难度。
要求密码设置要求密码需满足大写字母、小写字母、数字和特殊符号至少三种字符同时使用。
如下图:用户自服务平台:用户通过自己的账号登录自服务平台自助完成密码的修改,从而实现密码管理的去中心化运维。
3、特权账号弱密码治理关于特权账号的管理已成为当前的热门话题,即是因为其权限的控制域较大,又是因为关于特权账号的处理没有统一的监督标准及安全规范。
宁盾令牌与Google身份验证器的对比与选择
普及一下,Google 身份验证器和令牌同属于动态口令生成器,用于加固账号密码安全。
用户在使用账号密码认证的时候,除了输入账号密码外,还需要输入动态口令(又称动态密码/动态Token)。
如在阿里云中账号安全管理中设置开始MFA认证,在使用账号密码身份鉴别的时候就需要输入动态密码。
像Google 身份验证器又或者令牌都属于双因素认证的一部分,即动态口令生成器(又称为动态令牌)。
实际上双因素认证由认证系统和动态令牌两部分组成。
认证系统负责种子密钥的存储、动态令牌的派发/激活、应用场景的对接等功能;动态令牌在激活后为应用系统提供校验口令。
阿里云服务器就是充当了认证服务器的角色,当用户在“账号安全设置”中开启了“MFA 动态口令校验”(有得地方称Google Authenticator 或Google 身份验证器,意思是说该网站已兼容了Google 开源的动态口令验证方法),用户使用事先下载好的手机令牌(任何兼容Google 动态口令验证方法的令牌,比如令牌)扫码激活后就可以在下次登录时使用。
因此,面向个人账号登录保护,只要应用本身已兼容Google 动态口令验证算法(Google Authenticator),您可以下载任何兼容Google Authenticator的动态令牌,如令牌。
面向企业场景,如VPN、虚拟化、网络设备、Office365等,作为管理员,令牌的选择与服务器所能提供的功能相比,认证服务器的功能就更为重要了。
Google令牌目前仅提供令牌,认证服务器需要客户独立开发。
令牌提供认证服务器及多令牌全场景一体化认证方案。
总结:面向商业个人账号安全,令牌与Google 身份验证器并没有区别,面向企业场景,提供双因素一体化认证解决方案,企业无需再将研发精力花费在成熟商品上,而是让研发将精力花费在重要业务上,提供本地部署和云部署方案。
宁盾多因子认证(MFA)与Linux终端安全认证方案
一、背景需求随着企业移动化转型,员工允许随时随地办公。
弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。
另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。
假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。
二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。
多因子认证解决方案由认证服务器和动态令牌组成。
令牌形式因多因子呈现方式不同而有所区别。
认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。
动态密码每隔30/60s变化一次,一次一密。
用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。
1、多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google 身份验证器等第三方动态令牌形式。
更为关键的是,创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。
同时开发指纹识别、人脸识别等多因子认证方案。
2、动态密码派发方式:支持批量派发、增量派发及自动派发令牌,通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。
企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。
3、令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。
4、持有国密证书:令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。
三、效果展示通过将认证服务器与Linux终端对接,用户登录时,首先输入账号密码,其次在动态密码弹框中输入6位动态密码进行验证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、背景需求
随着企业移动化转型,员工允许随时随地办公。
弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。
另外传统周期性修改密码的方案不仅增加了员工/运维的工作量,而且无法从根本上实现对用户登录认证的保护。
假设企业规定30天修改一次密码,那么对于30天内发生的账号密码泄漏事件,当前方案是无法解决的,因此企业有必要对重要应用系统实施多因子(MFA)认证解决方案。
二、解决方案
传统的双因子认证解决方案也就是我们常说的动态密码解决方案,多因子顾名思义丰富了认证因子的形式。
多因子认证解决方案由认证服务器和动态令牌组成。
令牌形式因多因子呈现方式不同而有所区别。
认证服务器部署于核心交换机,与账号源、应用系统对接,负责动态密码的派发、激活、绑定、授权、审计等操作。
动态密码每隔30/60s变化一次,一次一密。
用户认证时,除输入账号密码外,还需输入6位动态密码,从而保证每一个登录的唯一性。
1、多令牌形式:不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token,同时兼容RSA、Google 身份验证器等第三方动态令牌形式。
更为关键的是,创新性的将
企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。
同时开发指纹识别、人脸识别等多因子认证方案。
2、动态密码派发方式:支持批量派发、增量派发及自动派发令牌,通过与账号源绑定,运维人员在创建新账号的同时为用户派发动态令牌。
企业微信/钉钉“扫一扫”可在应用内授权,即取即用更方便,不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。
3、令牌激活及绑定方式:用户在各应用商店下载手机令牌后,可通过邮件扫码或短信激活吗的方式激活,也可登录自服务平台自助激活。
4、持有国密证书:令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》,满足等保、护网行动对供应商的考核需求。
三、效果展示
通过将认证服务器与Office 365 对接,用户登录时,首先输入账号
密码,其次在动态密码弹框中输入6位动态密码进行验证。
认证成功即可登录。
四、方案价值
1、多令牌形式,满足不同场景需求;
2、认证过程一次一密,提升账号密码认证安全;
3、全场景覆盖,满足数据中心基础设施(VPN、虚拟化、网络设备、堡垒机、服务器、云主机、数据库等)、网络层有线无线身份认证及应用层单点登录的安全认证需求。
4、灵活的派发方式,自动过滤已派发用户;
5、无需定期修改密码,节省运维劳动成本;
6、兼容AD、LADP等多种账号源;
7、与TACACS+协议分权而置,实现异构网络设备的统一安全认
证、命令行授权及审计;
8、消息预警及登录审计,审计用户的登录登出事件、访问设备、及成功与否,将危险或超时登录终端高警至管理员和直接责任人;
智能安全接入,从宁盾开始。
宁盾成立以来专注于动态密码双因素认证市场,并以技术为导向,于2013年正式上线网络认证系统,形成一体化身份认证与访问管理解决方案。
为了应对企业组织、应用的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。