中大型企业的无口令化体验
发布时间:2021-07-02 07:16:13|浏览次数:923
上一篇文章我们讲到,100人左右的公司无口令化体验,那么在中、大型企业,是否可以实现无口令化?
答案当然是可以的,今天我们一起来看一下,中大型企业的无口令化是怎样的体验。
中、大型企业特点
中、大型企业账户系统的基本特色:
· 有AD域:账户根源维护统一的账户、口令
· 有IAM:统一管理自有应用系统
· 私有化部署:有自己的内网
· 手机的限制:可能不能连入内网
无口令架构
无口令的核心,在于AD/LDAP前置无口令服务,这里会暴露需要的认证接口给应用,包括传统的IAM平台。
认证方式
· 手机认证器:微信小程序
推送+生物特征:通过微信推送,要求用户确认,确认后使用指纹、人脸进行验证。
OTP+生物特征:OTP在开通过程中存储密钥信息。到小程序空间中,认证时待用户通过指纹、人脸确认后,生成OTP。
扫码+生物特征:小程序内部的扫码认证,需要用户使用指纹、人脸进行确认。
· Win Hello 和 Mac KeyChain
密钥存储于设备安全芯片中,使用设备自带指纹、口令解锁密钥,是最安全便捷多因子认证方案
· 硬件key
基于FIDO2标准,当前已经支持全部操作系统、浏览器,最新已经支持SSH。Key内部是安全空间,存储密钥;可通过PIN码、生物特征进行用户确认。
· 指纹鼠标
基于FIDO2标准,非常适合台式机,无需员工额外携带设备、做额外操作。
根据场景和安全性,有如下划分:
典型应用场景
域登录
分为两种场景
一、联网:可以使用的方式
o 手机:
手机认证器收到PUSH进行生物认证
手机扫码进行生物认证
手机认证器产生的一次性口令
o 指纹鼠标
o 硬件key
二、无网络:可以使用的方式
o 手机:
手机认证器产生的一次性口令
手机认证器收到PUSH进行生物认证,需要手机可以通过WIFI、蓝牙连接工作主机
手机扫码进行生物认证,需要手机可以通过WIFI、蓝牙连接工作主机
o 指纹鼠标
o 硬件key
VPN远程访问
VPN的使用,通常在员工笔记本上进行,使用员工常携带设备,可使用:
· 硬件key
· 手机
推送+生物认证
一次性口令
IAM平台与内部应用
中大型企业通常会有IAM、OA的存在,由其再做单点登录至其它内部应用。
无口令平台,对外暴露LDAP、SAML标准接口,员工可使用如下认证方式:
· 指纹鼠标
· 硬件key
· 手机
推送+生物认证
扫码
一次性口令
SSH及远程主机
远程服务器,包括linux和windows server,可以使用:
· 指纹鼠标
· 硬件key
· 手机
推送+生物认证
一次性口令
特点:
无口令:全场景无需口令;
安全:全部认证方式,都是双因子;
扩展当前已有的AD:员工核心信息仍然依赖原有的AD,无需迁移;
支持无网:对工作台的登录,支持无网环境;
多种认证方式:可以选择手机、指纹鼠标、硬件key作为认证因子。
