Windows桌面双因素认证流程是啥？

Posted 2023-04-29

双重保护免受安全漏洞攻击

随着安全漏洞数量每天都在增加，仅依靠用户名和密码来保护用户帐户已不再是一种选择。除了使密码更强大之外，更可行的解决方案是添加额外的安全层来过滤未经授权的用户。双因素身份验证（TFA）-一种使用用户已知和已有的东西对用户进行身份验证的方法，使这一切成为可能。

使用ADSelfService Plus登录Windows

启用  ADSelfService Plus “  Windows登录TFA  功能，用户必须在连续的两个阶段中对自己进行身份验证，才能访问其Windows计算机。第一级身份验证是通过他们知道的东西：他们通常的Windows凭据。第二级身份验证-他们拥有的一些东西-可以通过以下方式之一：

安全问题与答案

邮件验证

短信验证

Google身份验证器

Duo Security

RSA SecurID

RADIUS认证

推送通知认证

指纹认证

基于二维码的身份验证

Microsoft身份验证器

TOTP认证

基于AD的安全问题

Windows登录TFA确保即使在密码被泄露的情况下也不会对敏感数据造成任何风险。也就是说，即使未经授权的用户获得了对用户密码的访问权限，他们仍然需要访问用户的电话或邮件才能获得验证码。此外，SMS和基于电子邮件的验证码以及来自Duo Security和RSA SecurID的身份验证码对于每个用户都是唯一的。这些代码只能使用一次，并且如果在一定时间内未使用它们就会过期。

启用Windows登录TFA后，会将TFA添加到所有Windows本地和远程登录尝试中。

ADSelfService Plus在以下操作系统上支持Windows登录TFA：

Windows Vista及更高版本。

Windows Server 2008及更高版本。

参考技术A 双因素认证是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥，该密钥同时存放在服务器端，每次认证时动态密码卡与服务器分别根据同样的密钥，同样的随机参数（时间、事件）和同样的算法计算了认证的动态密码，从而确保密码的一致性，从而实现了用户的认证。
因每次认证时的随机参数不同，所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性，从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失，防止恶意入侵者或人为破坏，解决由口令泄密导致的入侵问题。 参考技术B 首先用户进入Windows桌面登录界面后，输入账号、密码及宁盾动态密码后提交即可。
windows桌面双因素认证原理是Windows系统通过对应插件将认证信息发送到宁盾认证服务器进行认证。认证通过后，用户即可登录成功。本回答被提问者采纳

等保等保测评中双因素认证是什么意思？等于双因子认证吗？

等保测评中双因素认证是什么意思？等于双因子认证吗？很多朋友们对于这两个问题不是很清楚，今天我们小编就来给大家回答一下，加深大家的了解。

等保测评中双因素认证是什么意思？

【回答】“双因素”顾名思义，通常就是在“静态口令”的基础上增加另外一种鉴别因素以实现强身份鉴别，确保是用户账号拥有者本人登录。第二因素实现形式包括但不限于：短消息认证、邮件认证、动态口令令牌、USB-KEY、指纹、面部、虹膜、声音等，其中动态口令令牌由于其实现成本较低且操作方便，是目前最常使用的一种。

双因素认证等于双因子认证吗？

【回答】：是的，双因素认证等于双因子认证，只是说法不同而已。采取双因子认证方式主要作用就是，确保用户账号安全，保障企业数据安全。

【知识拓展1】：过等保相关标准调准

（1）GB/T 22239—2019

《信息安全技术 网络安全等级保护基本要求》（GB∕T 22239—2019）的第三级安全要求中，安全计算环境的身份鉴别控制点要求：“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。”

（2）GB/T 28448—2019

《信息安全技术 网络安全等级保护测评要求》（GB∕T 28448—2019）中对身份鉴别控制点的测评实施提出如下要求：

1)应核查是否采用动态口令、数字证书、生物技术和设备指纹等两种或两种以上组合的鉴别技术对用户身份进行鉴别；

2)应核查其中一种鉴别技术是否使用密码技术来实现。

【内容拓展】：行云管家堡垒机双因素认证方式

1、USB Key；

2、手机短信验证码；

3、微信/企业微信/钉钉验证码等第三方应用；

4、手机动态令牌；

5、Radius验证。