Windows在桌面操s作系统中的地位不用多说,极其广泛的应用于家庭和企业办公场景,随着网络安全的威胁趋势日益加大,采用一套合适的安全工具保护登录安全至关重要。
对于个人笔记本,现在很多电脑已经自带指纹或人脸识别解锁模块,可以非常有效的保护Windows安全登录,但是对于企业办公场景,首先很少有电脑自带指纹和人脸识别模块,再者企业复杂的办公场景,也不太适合使用电脑自带的指纹或人脸识别模块,所以企业中最常用的就是使用第三方双因素身份认证系统(2FA/MFA)结合动态口令/动态密码(OTP)来保护Windows安全登录,拿中科恒伦双因素身份认证系统举例:
只需要两步:
1、首先单独部署一台双因素身份认证系统;
2、在想要做登录保护的Windows机器上部署一个专属的Agent客户端插件,和双因素认证认证系统对接实现联动;
就是这么简单,我们看下效果对比:
加固前:用户名、静态密码登录;
△双因素身份认证登录改造前
加固后:用户名、静态密码、动态口令登录;
△双因素身份认证登录改造后
有两点做的比较好的地方:
1、考虑到双因素身份认证服务器宕机的情况下,此时Windows无法向双因素身份认证服务器发送动态口令请求,所以为了能够正常使用动态口令安全登录,中科恒伦的Windows客户端插件做了动态口令本地认证微服务,当检测到双因素身份认证服务器宕机的情况下,会通过本地微服务做认证,这样用户就可以正常使用动态口令安全登录Windows;
2、因为动态口令是采用的时间型令牌,当令牌端和服务端的时间偏差超过设置的容错值时,是无法认证通过的,但是用户又特别着急登录Windows,针对这种情况,中科恒伦Windows客户端插件做了超级密码功能,当动态口令无论如何都认证不通过的情况下,可以使用超级密码应急登录,做到不影响业务正常开展;
针对这两种情况我认为做的还是比较人性化的,能够很好的考虑到用户的实际使用需求,做到安全和便捷相结合;
适用于Windows登录的动态令牌表现形式上分为如两类:
软件令牌:APP令牌、微信小程序令牌、钉钉小程序令牌
硬件令牌:
采用动态口令保护Windows安全登录之所以能够极大的降低暴力破解几率,主要原因如下:
1、通常情况下动态口令是6位数,每1位由“0-9”10个数字组成,所以每个动态口令有100万种变化可能;
2、中科恒伦双因素身份认证系统后台可以设置错误尝试次数,比如3次,当错误超过3次,就会锁定当前账号(默认3分钟后自动解锁),此时服务端拒绝验证动态口令,此时被暴力破解的几率是3/100万;
3、正常动态码1分钟变换1次,所以等3分钟自动解锁后,动态口令已经变成了新的,前面的3次尝试无效,需要从头开始尝试,所以整体被暴力破解几率维持在3/100万;
由此可见,采用双因素身份认证系统动态口令做Windows安全登录加固,可以非常有效的降低被暴力破解风险,体验上也非常出众,值得尝试!
第 1 页 共 4 页
753
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
