魅族|Windows操作系统双因素认证解决方案机械键盘|铝合金|数码

文章图片

文章图片

Windows在桌面操s作系统中的地位不用多说，极其广泛的应用于家庭和企业办公场景，随着网络安全的威胁趋势日益加大，采用一套合适的安全工具保护登录安全至关重要。

【魅族|Windows操作系统双因素认证解决方案】对于个人笔记本，现在很多电脑已经自带指纹或人脸识别解锁模块，可以非常有效的保护Windows安全登录，但是对于企业办公场景，首先很少有电脑自带指纹和人脸识别模块，再者企业复杂的办公场景，也不太适合使用电脑自带的指纹或人脸识别模块，所以企业中最常用的就是使用第三方双因素身份认证系统（2FA/MFA）结合动态口令/动态密码（OTP）来保护Windows安全登录，拿中科恒伦双因素身份认证系统举例：

只需要两步：

1、首先单独部署一台双因素身份认证系统；
2、在想要做登录保护的Windows机器上部署一个专属的Agent客户端插件，和双因素认证认证系统对接实现联动；

就是这么简单，我们看下效果对比：

加固前：用户名、静态密码登录；
△双因素身份认证登录改造前
加固后：用户名、静态密码、动态口令登录；
△双因素身份认证登录改造后

我觉得中科恒伦针对Windows安全登录有两点做的比较好的地方：

1、考虑到双因素身份认证服务器宕机的情况下，此时Windows无法向双因素身份认证服务器发送动态口令请求，所以为了能够正常使用动态口令安全登录，中科恒伦的Windows客户端插件做了动态口令本地认证微服务，当检测到双因素身份认证服务器宕机的情况下，会通过本地微服务做认证，这样用户就可以正常使用动态口令安全登录Windows；
2、因为动态口令是采用的时间型令牌，当令牌端和服务端的时间偏差超过设置的容错值时，是无法认证通过的，但是用户又特别着急登录Windows ，针对这种情况，中科恒伦Windows客户端插件做了超级密码功能，当动态口令无论如何都认证不通过的情况下，可以使用超级密码应急登录，做到不影响业务正常开展；

针对这两种情况我认为做的还是比较人性化的，能够很好的考虑到用户的实际使用需求，做到安全和便捷相结合；
适用于Windows登录的动态令牌表现形式上分为如两类：软件令牌：APP令牌、微信小程序令牌、钉钉小程序令牌

硬件令牌：

采用动态口令保护Windows安全登录之所以能够极大的降低暴力破解几率，主要原因如下：

1、通常情况下动态口令是6位数，每1位由“0-9”10个数字组成，所以每个动态口令有100万种变化可能；
2、中科恒伦双因素身份认证系统后台可以设置错误尝试次数，比如3次，当错误超过3次，就会锁定当前账号（默认3分钟后自动解锁），此时服务端拒绝验证动态口令，此时被暴力破解的几率是3/100万；
3、正常动态码1分钟变换1次，所以等3分钟自动解锁后，动态口令已经变成了新的，前面的3次尝试无效，需要从头开始尝试，所以整体被暴力破解几率维持在3/100万；

由此可见，采用中科恒伦双因素身份认证系统动态口令做Windows安全登录加固，可以非常有效的降低被暴力破解风险，体验上也非常出众，值得尝试！