Cómo elegir la solución de autenticación de dos factores de contraseña dinámica adecuada para VPN
Al configurar la autenticación de terceros (RADIUS) en la VPN, apuntando al servidor de autenticación de contraseña dinámica DKEY (SERVIDOR RADIUS integrado), el usuario marca a través de la VPN para la autenticación de cuenta y contraseña, y obtiene la contraseña dinámica (generación de token/recepción de SMS), realiza una verificación secundaria y será liberada después de pasar.
Opción 1: autenticación por SMS
La tecnología de autenticación de dos factores de la VPN se basa en el envío de contraseñas dinámicas a través de mensajes cortos. El administrador de TI vinculará el número de teléfono móvil de cada usuario de la VPN.
SMS contraseña envía un texto que contiene una contraseña aleatoria al teléfono móvil del usuario a través de SMS. Normalmente el usuario llevará consigo el teléfono móvil, sin llevar hardware adicional ni instalar software, por lo que es una combinación de seguridad. y conveniencia. Solución de autenticación de factores.
1.1 Proceso de autenticación
VPN combina autenticación de contraseña SMS DKEY. Generalmente, la cuenta VPN está alojada en AD/LDAP. Después de completar la autenticación de la cuenta de dominio, el servidor de autenticación generará una de forma aleatoria. -time La contraseña se envía al teléfono móvil del usuario a través de la puerta de enlace SMS, y el usuario la ingresa en el cuadro de autenticación secundaria y la envía para verificación antes de que se pueda completar la autenticación;
Esta es una doble autenticación de cuenta de dominio y contraseña dinámica, para que se pueda garantizar de manera efectiva la seguridad de la información de la cuenta.
El proceso de autenticación de inicio de sesión del usuario es el siguiente:
1. El usuario ingresa la contraseña de la cuenta de usuario en la página de inicio de sesión proporcionada por el dispositivo de acceso a la red VPN (cliente de acceso telefónico o Web);
p>
La captura de pantalla del acceso a través de la Web en una PC es la siguiente:
2. Sistema de autenticación por SMS para la autenticación a través del protocolo Radius, y luego notifica a la VPN para que aparezca una página de autenticación de segundo nivel y activa un mensaje de texto al teléfono móvil del usuario;
La captura de pantalla del acceso a través de la Web en una PC es la siguiente:
3. Después de que el usuario recibe el mensaje de texto de contraseña dinámica, se proporciona más información. Ingrese la contraseña dinámica en la página para ingresar la contraseña dinámica y envíela. Luego se transmite la contraseña dinámica. al sistema Radius a través del protocolo Radius para una mayor autenticación.
1.2 Análisis de ventajas y desventajas
Ventajas:
(1) No es necesario llevar equipo adicional
(2) Seguro y conveniente
(3) Bajo costo de administración
(4) Adecuado para trabajo móvil para usuarios que no inician sesión con frecuencia
(5) Implementar teléfono móvil- auditoría basada
(6) Uso permanente, lo que ahorra costos de reemplazo del terminal de autenticación
Desventajas:
(1) Los mensajes SMS pueden retrasarse o perderse
(2) Teléfono móvil atrasado, sin señal de teléfono móvil (como en un viaje de negocios al extranjero), no se puede utilizar normalmente
Opción 2: token dinámico
Los dos La tecnología de autenticación de factor de esta VPN se basa en el método del token de hardware, administración de TI. El comité asigna un token a cada usuario de VPN. Cuando un usuario de VPN inicia sesión, ingresa el número aleatorio de 6 dígitos que se muestra en el token de contraseña estática. para completar el inicio de sesión. Actualmente, es el esquema de autenticación de identidad segura más utilizado.
El token dinámico es un generador de contraseñas dinámicas basado en hardware. La corriente principal se basa en el tiempo. Cambia una contraseña cada 60 segundos. La contraseña es válida para un uso único. están estrechamente relacionados con el terminal del usuario. No importa, los usuarios pueden utilizar fácilmente la autenticación de contraseña dinámica con computadoras portátiles, teléfonos inteligentes y tabletas.
Su mayor ventaja es que la respuesta de autenticación es alta y la contraseña crea aislamiento físico. Sin embargo, el uso de este método requiere que los usuarios lleven dispositivos de hardware adicionales. Es posible que los usuarios de oficinas móviles no puedan autenticarse debido a olvidos o pérdidas. a ellos.
2.1 Proceso de autenticación
Se pueden utilizar dos métodos:
(1) Igual que el anterior, proceso de autenticación por SMS.
(2) Adopte el método de combinación dinámica de contraseña y autenticación de primer nivel.
2.2 Análisis de ventajas y desventajas
Ventajas:
(1) Fácil de usar
(2) Alta seguridad
(3) Alta capacidad de respuesta empresarial
(4) Alta confiabilidad de autenticación
(5) Adecuado para usuarios que inician sesión con frecuencia
Desventajas:
(1) Ciclo de vida del token, debe reemplazarse después de 3 años
(2) Existe gestión de logística y distribución, por lo que el costo de gestión es alto
Opción 3: Autenticación híbrida con token dinámico de contraseña por SMS
La tecnología de autenticación de dos factores de la VPN se basa en un método de autenticación híbrida con token de hardware y contraseña por SMS. Tiene en cuenta las características de ambos métodos de autenticación y puede habilitarlos. un usuario de VPN para vincular SMS y SMS al mismo tiempo. Con los dos métodos de autenticación de token, Yike puede implementar uno de los métodos de asignación de contraseñas de SMS y tokens a usuarios de VPN respectivamente para satisfacer las necesidades de autenticación de dos factores de diferentes usuarios.
Más VPN utilizan este método para lograr la autenticación de dos factores.
3.1 Proceso de autenticación
Igual que la autenticación por SMS.
3.2 Análisis de ventajas y desventajas
Ventajas:
(1) Combinando las dos ventajas de contraseña SMS y token dinámico
( 2 ) Alta confiabilidad
(3) Seleccione el método de autenticación correspondiente según el escenario de uso del usuario
Desventajas:
(1) Los administradores deben administrar dos autenticación métodos Terminal