一、背景需求

不少企業(yè)因業(yè)務(wù)需要會(huì)自己研發(fā)一些業(yè)務(wù)系統(tǒng)，為保護(hù)業(yè)務(wù)數(shù)據(jù)安全，首先要確保能訪問到業(yè)務(wù)數(shù)據(jù)的人員“身份”安全可信。

企業(yè)自研業(yè)務(wù)系統(tǒng)的賬號(hào)密碼基本是 IT 管理員單獨(dú)管理維護(hù)，員工為了方便記憶，通常設(shè)置與其他商采系統(tǒng)相同的密碼，甚至很可能是弱密碼，比如“姓名首字母+123456”、“12345678”、“abc123”等，極易被暴力破解和泄露，導(dǎo)致不法分子冒充員工身份訪問自研業(yè)務(wù)系統(tǒng)并竊取數(shù)據(jù)。

企業(yè)可以在自研系統(tǒng)的登錄上實(shí)施 MFA 雙因子認(rèn)證，通過在靜態(tài)密碼的基礎(chǔ)上添加動(dòng)態(tài)密碼（也稱 OTP，動(dòng)態(tài)口令）認(rèn)證的方式，提高賬號(hào)安全性。這些動(dòng)態(tài)密碼（動(dòng)態(tài)口令）是隨機(jī)生成的，每隔60S刷新一次，不法分子即使拿到了賬號(hào)密碼，獲取不到正確的動(dòng)態(tài)密碼就無法訪問業(yè)務(wù)系統(tǒng)，防范效果立竿見影。

二、解決方案

自研業(yè)務(wù)系統(tǒng)（Web應(yīng)用或客戶端）基于寧盾 MFA 雙因子認(rèn)證 API 方式實(shí)現(xiàn)動(dòng)態(tài)密碼身份認(rèn)證。

如果企業(yè)有微軟 AD 域賬號(hào)，那么寧盾 AM 認(rèn)證服務(wù)器則會(huì)去 AD 域校驗(yàn)賬號(hào)密碼

如果企業(yè)沒有 AD 域賬號(hào)，則直接在本地認(rèn)證校驗(yàn)

認(rèn)證流程：

1. 終端用戶訪問自研系統(tǒng)登錄地址；

2. 輸入用戶名+靜態(tài)密碼+動(dòng)態(tài)密碼；

3. web 服務(wù)器后臺(tái)校驗(yàn)靜態(tài)密碼，同時(shí)將動(dòng)態(tài)密碼發(fā)送到寧盾 AM 做認(rèn)證；

4. 寧盾 AM 反回動(dòng)態(tài)碼認(rèn)證結(jié)果；

5. web 服務(wù)器返回認(rèn)證結(jié)果；

6. 登錄成功。

三、寧盾MFA雙因子認(rèn)證形式

雙因子認(rèn)證形式豐富，有軟件、硬件區(qū)分，以適應(yīng)企業(yè)各種場景下的身份安全需求。寧盾雙因子認(rèn)證（MFA）形式有手機(jī)APP令牌、硬件令牌、短信令牌（短信動(dòng)態(tài)碼）、郵件令牌（郵件動(dòng)態(tài)碼）、微信小程序令牌、嵌入在企業(yè)微信/飛書/釘釘工作臺(tái)中的H5令牌以及APP推送認(rèn)證（無密碼認(rèn)證），還可提供“掃?掃”免密認(rèn)證，并兼容RSA、Google等第三?令牌。

四、客戶價(jià)值

1. 寧盾 MFA 雙因子認(rèn)證可降低因員工弱密碼問題導(dǎo)致的安全風(fēng)險(xiǎn)；

2. 幫助企業(yè)快速實(shí)現(xiàn)等保合規(guī)；

3. 輕量化運(yùn)維，無需企業(yè)投入專門人力和精力。

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）