一、背景需求
不少企业因业务需要会自己研发业务系统,为保护业务数据安全,首先要确保能访问到业务数据的人员“身份”安全可信。
企业自研业务系统的账号密码基本是 IT 管理员单独管理维护,员工为了方便记忆,通常设置与其他商采系统相同的密码,甚至很可能是弱密码,比如“姓名首字母+123456”、“12345678”、“abc123”等,极易被暴力破解和泄露,导致不法分子冒充员工身份访问自研业务系统并窃取数据。
企业可以在自研系统的登录上实施 MFA 双因子认证,通过在静态密码的基础上添加动态密码(也称 OTP,动态口令)认证的方式,提高账号安全性。这些动态密码(动态口令)是随机生成的,每隔60S刷新一次,不法分子即使拿到了账号密码,获取不到正确的动态密码就无法访问业务系统,防范效果立竿见影。
二、解决方案
自研业务系统(Web应用或客户端)基于宁盾 MFA 双因子认证 API 方式实现动态密码身份认证。
如果企业有微软AD域账号,那么宁盾认证服务器则会去AD域校验账号密码
如果企业没有AD域账号,则直接在本地认证校验
认证流程:
1. 终端用户访问自研系统登录地址;
2. 输入用户名+静态密码+动态密码;
3. web 服务器后台校验静态密码,同时将动态密码发送到宁盾 AM 做认证;
4. 宁盾 AM 反回动态码认证结果;
5. web 服务器返回认证结果;
6. 登录成功。
三、宁盾MFA双因子认证形式
双因子认证形式丰富,有软件、硬件区分,以适应企业各种场景下的身份安全需求。宁盾双因子认证(MFA)形式有手机APP令牌、硬件令牌、短信令牌(短信动态码)、邮件令牌(邮件动态码)、微信小程序令牌、嵌入在企业微信/飞书/钉钉工作台中的H5令牌以及APP推送认证(无密码认证),还可提供“扫⼀扫”免密认证,并兼容RSA、Google等第三⽅令牌。
四、客户价值
1. 宁盾 MFA 双因子认证可降低因员工弱密码问题导致的安全风险;
2. 帮助企业快速实现等保合规;
3. 轻量化运维,无需企业投入专门人力和精力。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。)
