邮件系统(OWA)双因素身份认证解决方案
一、场景分析
OWA是基于微软Hosted Exchange技术的托管邮局的一项Web访问功能,可以直接使用 Web 浏览器通过 Internet 读取或发送电子邮件、管理他们的日历地址簿,任务等协同办公功能,安全级别较高!
二、问题分析
1、密码设置简单,非常容易被撞库破解;
2、密码设置复杂,非常容易忘记密码,增加网络管理员无意义工作;
3、设置统一或有规律的密码,一旦单点被破,极易引发全面危机;
4、定期更改密码,容易密码混淆,难以记住;
5、做密码本、存储位置容易泄漏,引发全面危机;
6、员工离职,需要修改密码,增加管理员工作量;
三、解决方法
采用CKEY DAS做密码加固,登录时需要做二次身份认证。实现效果如下:
“用户名 + 静态密码 + 动态密码 = 成功登录”
四、业务系统认证流程
认证前提:
在业务系统上启用Radius模块或调用CKEY HttpsAPI接口;;
和CKEY DAS认证服务器完成Radius对接或API对接;
登录流程:
用户输入“用户名+静态密码+动态密码”访问目标主机;
目标主机通过Radius Client或API同时将用户名+静态密码发送到企业用户源做静态认证、将用户名+动态密码发送到CKEY DAS认证服务器做动态认证;
用户源和CKEY DAS分别对认证做反馈;
当且仅当用户源认证和CKEY DAS认证同时通过时,才能成功访问,否则登录失败;
五、CKEY DAS介绍
CKEY DAS(中科恒伦双因素认证系统)基于标准的Radius协议和TACACS+协议,为网络设备、业务系统、操作系统提供身份认证、授权和审计,同时支持API、SDK对接方式,满足所有主流场景。
六、产品架构
原创文章,作者: Admin ,转载请注明出处:https://secvery.com/3448.html