双因素身份验证技术在NPI区域邮件安全管控上的解决思路
在制造业中,NPI(New Product Introduction,新产品导入)区域是指专门负责新产品从概念到市场推出全过程的部门或团队。NPI 的目标是确保新产品能够高效、高质量地投入生产,并顺利满足市场需求。在支撑企业持续创新和竞争力提升方面扮演着关键角色。由于 NPI 区域涉及大量敏感数据和设计信息,企业往往会采取严格的安全措施保护数据免受未授权访问和泄露。
以某制造企业为例,分享一下宁盾对 NPI 区域邮件系统结合 2FA 双因素身份验证进行安全管控的方案思路。
某大型制造企业针对 NPI 区域的邮件管控采用 UserLock 访问控制软件进行管理,由于预算缩减,打算寻找替换产品。经过售前沟通,客户认为宁盾 2FA 双因素身份验证在投入成本及功能上符合需求,且能根据客户需求灵活地设置条件和策略,如筛选用户组、角色、终端类型、IP、主机名称等实现用户过滤、终端过滤、动态口令暗语前缀、登录时间限制、登录日志审计等目的,让客户借助双因素身份验证技术因地制宜地满足安全管控目标。
图源:宁盾
基于“动态口令”二次验证的账号加固方案
双因素身份验证(Multi-Factor Authentication, 2FA)是一种安全机制,通过要求用户在登录系统/设备时提供两种及以上的身份验证因素,以增强账户的安全性。在宁盾 2FA 双因素身份验证解决方案中,第二种身份验证因素通常为动态口令(Dynamic Password,OTP、TOTP)。动态口令生成器不同,也就有了多种多样的动态令牌形式。
图源:宁盾
其工作原理简单概述如下:
软件部署完成后,将需要启用 2FA 双因素身份验证的应用/设备 RADIUS 认证地址指向宁盾 2FA 双因素身份验证服务端地址,对接客户账号源,两边配置完后,给作用域内的用户派发动态令牌,用户激活令牌方可正常使用。
- 认证服务器动态口令:认证服务器存储令牌种子,将其与用户账号绑定,在服务器内生成该用户可用的“动态口令”;
- 动态令牌口令:动态令牌激活令牌种子,生成动态口令。当用户登录认证时,输入账号、静态密码和动态口令,认证服务器与服务器内动态口令进行对比,完成整个校验过程。
图源:宁盾
相较于账号和静态密码单一认证,基于“动态口令”的二次验证加固了账号密码的安全性,每一个动态口令都是唯一且一次性的,有效防止不法分子利用泄露的应用/设备账号密码访问企业重要数据,实现安全管控的目标。
在易受攻击的场景,加强动态口令身份鉴别
除了 NPI 区域的邮件需要安全管控,最容易受到不法分子攻击的通常是网络边界处,如 VPN、虚拟化、网络连接入口、邮箱等,一旦进入企业网络,业务系统、服务器、数据库等重要资产均会成为下个攻击目标。因此,无论是网络边界处还是内部重要资源的的安全防护,均可以通过 2FA 双因素身份验证对访问这些资源的用户身份进行增强鉴别,确保该访问人的身份安全可信。
图源:宁盾
从用户维度出发,多措并举提升用户体验
图源:宁盾
尽管安全与体验无法并存,但用户使用过程中的环节优化却实打实地为宁盾 2FA 双因素身份验证赢得客户尊重。例如,大型制造业员工规模庞大,建议企业开启用户自服务及云端同步备份功能,原因在于:
- 用户不可避免地存在令牌误删、更换手机等问题,常规途径是需要企业 IT 管理员帮助操作解换绑令牌,不仅造成 IT 任务繁重,也会影响用户的使用体验乃至办公效率;
- 云端同步备份适用于事前预防:开启云端同步备份后,手机APP令牌里的动态口令会备份到微信小程序中,当用户误删了已激活的动态口令或更换手机后,通过云端同步可找回之前的令牌;
- 用户自服务平台适用于事中处理:开启用户自服务平台后,用户可在平台上自行解换绑令牌、修改手机号/密码等,无需管理员协助;
- 用户账号密码若依据密码定期修改策略,存在过期修改/重置现象,用户可在自服务平台或在动态口令认证界面自助修改/重置密码,大大提升用户体验,释放运维人效。详情可点击:新功能揭晓!宁盾RADIUS认证提供自助改密快速通道
在已知的因账号密码泄露或被破解导致的恶意攻击事件里,采用 2FA 双因素身份验证技术可以显著降低账户被非法访问的风险,且相比于其他安全措施,2FA 方案成本投入更低,效果更明显。在涉及到需要保护企业重要信息资产的办公、研发、生产、运维环境,2FA 双因素身份验证可以广泛覆盖,全面提升账户安全。