郵件系統(OWA)雙因素身份認證解決方案

2021-02-24 LemonSec
一、場景分析

OWA是基於微軟Hosted Exchange技術的託管郵局的一項Web訪問功能,可以直接使用 Web 瀏覽器通過 Internet 讀取或發送電子郵件、管理他們的日曆地址簿,任務等協同辦公功能,安全級別較高!

二、問題分析

1、密碼設置簡單,非常容易被撞庫破解;

2、密碼設置複雜,非常容易忘記密碼,增加網絡管理員無意義工作;

3、設置統一或有規律的密碼,一旦單點被破,極易引發全面危機;

4、定期更改密碼,容易密碼混淆,難以記住;

5、做密碼本、存儲位置容易洩漏,引發全面危機;

6、員工離職,需要修改密碼,增加管理員工作量;

三、解決方法

採用CKEY DAS做密碼加固,登錄時需要做二次身份認證。實現效果如下:

「用戶名+靜態密碼+動態密碼=成功登錄」

四、業務系統認證流程

認證前提:

在業務系統上啟用Radius模塊或調用CKEY HttpsAPI接口;;

和CKEY DAS認證伺服器完成Radius對接或API對接;

登錄流程:

用戶輸入「用戶名+靜態密碼+動態密碼」訪問目標主機;

目標主機通過Radius Client或API同時將用戶名+靜態密碼發送到企業用戶源做靜態認證、將用戶名+動態密碼發送到CKEY DAS認證伺服器做動態認證;

用戶源和CKEY DAS分別對認證做反饋;

若且唯若用戶源認證和CKEY DAS認證同時通過時,才能成功訪問,否則登錄失敗;

五、CKEY DAS介紹

CKEY DAS(中科恆倫雙因素認證系統)基於標準的Radius協議和TACACS+協議,為網絡設備、業務系統、作業系統提供身份認證、授權和審計,同時支持API、SDK對接方式,滿足所有主流場景。

六、產品架構

七、接入方法

八、認證方式

註:可以任選其一,也可以多種方式組合使用!

九、OTP技術原理

十、CKEY DAS八大優1部署簡單靈活在不改變網絡拓撲的情況下,旁路接入認證伺服器,方便入網,並可以很方便的組建認證服務集群,工作狀態下負載均衡,單點發生故障立即熱備2認證方式豐富支持簡訊認證、APP認證、小程序認證、釘釘認證、硬體令牌認證、指紋認證、人臉認證、U盤證書認證等多種認證方式,還可以多種方式組合使用3業務場景豐富支持路由器、交換機、VPN、防火牆、網關等多種網絡設備,支持OA、CRM、ERP、財務、人事、Web應用、虛擬桌面等多種業務應用、支持Linux、Windows、Unix等多種作業系統;4用戶源豐富支持AD、LDAP、DataBase、等多種用戶源,快速對接,減少管理成本5策略管理靈活可以為不同用戶、不同組、不同角色,設置不同的管理策略,配置靈活,管理方便6日誌審計完善詳細記錄系統操作日誌、API認證日誌、協議認證日誌、終端認證日誌、授權日誌等,有效監管操作動態7對接方式豐富Ckey-DAS支持標準的Radius、Tacacs+協議,支持所有此協議設備,並且支持SDK、API集成方式對接,基本滿足企業所有業務系統,特殊情況下還支持原始碼集成。8自助服務強大用戶可以根據管理員提示,自助激活綁定認證服務,提高工作效率,降低管理成本十一、適用品牌

CKEY DAS可以完美對接微軟ExChange OWA、 Sharepoin、 OA、ERP、金蝶、HR、CRM、SAP、oracle、智邦國際、用友等主流業務系統,獲得數百家企業客戶高度認證。

一如既往的學習,一如既往的整理,一如即往的分享。感謝支持

【好書推薦】

2020hw系列文章整理(中秋快樂、國慶快樂、雙節快樂)

HW中如何檢測和阻止DNS隧道

ctf系列文章整理

日誌安全系列-安全日誌

【乾貨】流量分析系列文章整理

【乾貨】超全的 滲透測試系列文章整理

【乾貨】持續性更新-內網滲透測試系列文章

【乾貨】android安全系列文章整理

掃描關注LemonSec

相關焦點

  • 7個最佳雙因素認證解決方案
    在本文中,我們將介紹由知名雙因素認證服務提供商提供的7種最適合的數據保護工具。訪問網絡帳戶的標準程序包括輸入登錄詳細信息:登錄名和密碼。這是一個單因素身份驗證。雙因素身份驗證(2FA)是一種額外的數據保護措施,這意味著需要額外的步驟才能進行常規登錄過程。
  • 身份認證之雙因素認證 2FA
    身份認證這裡所說的身份認證,指的是狹義上的在計算機及其網絡系統中確認操作者身份的過程,從而確定用戶是否具有訪問或操作某種資源的權限
  • 在雙因素身份認證領域混跡6年,聊聊我的見解
    因每次認證時的隨機參數不同,所以每次產生的動態密碼也不同。由於每次計算時參數的隨機性保證了每次密碼的不可預測性,從而在最基本的密碼認證這一環節保證了系統的安全性。解決因口令欺詐而導致的重大損失,防止惡意入侵者或人為破壞,解決由口令洩密導致的入侵問題。
  • 雙因子身份認證機制的安全分析
    實際上,除了這些障礙以外,現在我們已經開始認識到,不採用雙因子認證所帶來的隱含成本遠遠比採用雙因子認證所需要的成本高得多。  雙因子身份認證是確保遠程訪問安全性的最佳實踐方式,但是這種技術也給了一些網絡犯罪分子可乘之機。如果攻擊者在獲取到了大量身份憑證的情況下,他們就可以偽裝成合法用戶,而且還可以躲避安全防護軟體的檢測。
  • 雙因素認證如何保證你的帳戶安全
    本文講的是一些最佳的身份驗證應用程式和選項,雖然設置過程可能需要一些時間,但是一旦啟用了雙因素認證,一切就都安全了。如果你想確保自己的在線帳戶安全,則添加雙重身份驗證(2FA)是你可以採取的最重要的安全措施。儘管沒有任何安全措施可以100%防止黑客入侵,但是2FA在鎖定對重要帳戶的訪問方面將大有幫助。顧名思義,2FA在登錄過程中增加了另一層身份驗證。
  • 管理實踐.原創 | 雙因素認證雖好,忽略這幾點,運維堡壘機將被非法遠程登陸.
    一種較好的解決方案是使用「靜態密碼」+「動態密碼」的強認證方式(簡稱為「雙因素認證」),下圖為時間型雙因素認證的原理圖,伺服器和令牌具有唯一的令牌種子和內置時鐘,通過密碼算法生成相同的動態密碼,屬於較為成熟的解決方案。可以與VPN、堡壘機、伺服器、資料庫、雲平臺等進行快速集成,性價比非常高,能極大提升身份認證水平,建議大家儘快建設。
  • 攻擊雙因素認證(2FA)的11種方式
    雖然許多緩解措施中都包含「啟用雙因素認證」這樣一條建議,但是千萬別就此以為雙因素認證(2FA)是完全安全的。所謂認證(authentication)就是確認用戶的身份,是網站登錄必不可少的步驟。其中,密碼是最常見的認證方法,但是不安全,容易洩露和冒充。不可否認,與普通密碼相比,2FA具有其獨到優勢,並且正在加大部署於各種網絡和服務中。
  • Palo Alto結合寧盾雙因素認證,讓數字身份更安全
    同時,為解決弱密碼、帳號密碼洩漏等帳號安全風險,Palo Alto 聯合寧盾,通過在帳號密碼的基礎上增加動態密碼或使用無密碼認證等強身份認證方式提升數字身份認證安全。如下圖:用戶在使用Palo Alto VPN的過程中首先驗證帳號密碼,其次驗證寧盾令牌的6位動態碼。
  • 為Nexpose啟用雙因素認證
    本次說到的雙因素認證,可以讓Nexpose的Web安全控制臺結合基於時間的一次性密碼應用程式進行雙重身份驗證。要求兩個因素身份驗證需要以下內容:您必須是全局管理員才能在全局管理中啟用該功能用戶必須具有基於時間的一次密碼應用,如 Google身份驗證器,或者微軟的Authenticator以及Authy等類似工具在安全控制臺的左側導航大菜單中,單擊"管理(ADMINISTRATION
  • 如何在Apple和Google運行環境中,應對第二個身份驗證因素缺失的情況?
    如果你的帳戶未開啟雙因素身份驗證模式,則可以通過回答安全問題以快速重置密碼,或使用iForgot(蘋果的Apple ID密碼重設服務)恢復對你帳戶的訪問權限。如果你已經設置了雙因素身份驗證來保護你的Apple帳戶,你可以在幾秒鐘輕鬆更改密碼。以上,我們所講的是雙因素身份驗證(2FA)中的第一個驗證因素,也就是密碼驗證缺失的情況下,所有的應對策略。
  • 【刷臉時代】銀行押運員人臉識別身份認證系統解決方案
    由於工作的特殊性,押運人員有著很大的精神壓力,且押運員工資待遇一般,這就導致押運員更新非常的頻繁,使押運員管理存在很多安全隱患。目前大多數地區對押運員的管理以識別卡的方式進行管理,押運員與營業網點辦理款箱交接以識別卡為身份認證依據,有的地方在營業網點保存押運員的照片等信息,通過人工對照確定押運員的身份。這樣的身份認證方式顯然已經無法適應目前的要求。
  • 基於單攝像頭的手勢識別身份認證方案設計
    利用單攝像頭對手勢數據進行採集, 同時對手勢數據用卷積神經網絡訓練以提高識別精度生成手勢模型,最終通過手勢識別對圖形密 碼的選擇實現了認證功能。該方案對身份認證方式進行了創新,具有現實的應用價值;隨著全息 顯示技術實用化,該方案會是現實和虛擬之間實用性極佳的認證接口。
  • 技術乾貨 | 多因素認證之Radius
    目前大多數企業內都有VPN、WI-FI、路由器等等,例如深信服的VPN本身支持Radius協議,所以擴展雙因素認證非常簡單,實現邏輯如下:1.用戶輸入帳號密碼首次認證可以選擇本地帳號密碼/LDAP/派拉多因素認證平臺等完成帳號密碼的校驗。2.VPN帳號密碼校驗完成後進入二次認證界面,需要輸入動態口令進入多因素認證,動態口令校驗成功後進入VPN。
  • 網絡安全之身份認證
    (二)雙因子身份認證技術在一些對安全要求更高的應用環境,簡單地使用口令認證是不夠的,還需要使用其他硬體來完成,如U盾、網銀交易就使用這種方式。在使用硬體加密和認證的應用中,通常使用雙因子認證,即口令認證與硬體認證相結合來完成對用戶的認證,其中,硬體部分被認為是用戶所擁有的物品。
  • Citrix 簡訊OTP雙因素認證
    相信對本文感興趣的讀者都通過Citrix ADC實現過各種多因素認證,而其中最簡便的方式就是我們支持的native OTP功能不依賴其他額外的組件就可以快速增強認證安全。這一年多來雙因素認證也成為了客戶的標配需求,native OTP是通過安裝手機APP的方式生成OTP,而大家平常使用的很多APP和網站現在都支持輸入手機號,發送簡訊驗證碼,然後通過簡訊驗證碼認證登陸的功能,因此在客戶交流過程中也有客戶對通過簡訊OTP方式實現雙因素認證有極大興趣。
  • 可免費下載 |《無密碼身份認證:安全數位化轉型的下一個突破》摘譯
    如今,越來越多的安全公司引入額外因素對以上三種類型進行補充,例如可以利用基於行為的信息、地理位置,甚至用戶的個人關係等,來進一步提高結果的準確性,這些因素通常不能單獨使用。過時的身份認證系統會導致安全盲點和漏洞,黑客利用這些安全隱患可以訪問公司網絡的核心部分。現代的身份認證系統不僅僅是從安全角度來看必不可少,而且是關鍵的數位化驅動器。
  • 【安全運維】Linux 之 利用Google Authenticator實現用戶雙因素認證
    一、介紹:什麼是雙因素認證  雙因素身份認證就是通過你所知道再加上你所能擁有的這二個要素組合到一起才能發揮作用的身份認證系統
  • 解鎖Trezor隱藏功能 - U2F雙因素認證器
    Trezor (SatoshiLabs) 的兩位創始人Slush & Stick作為加密貨幣行業的技術專家以及資深Cyberpunk(密碼朋克),勵志為「加密愛好者」打造成終極加密安全管理設備 —— Trezor兼具硬體錢包 + 密碼管理器 + U2F雙因素認證三個強大功能,當之無愧為同類產品中的戰鬥機!
  • [信息安全] 4.一次性密碼 && 身份認證三要素
    在平時生活中,我們接觸一次性密碼的場景非常多,比如在登錄帳號、找回密碼,更改密碼和轉帳操作等等這些場景,其中一些常用到的方式有:手機簡訊+簡訊驗證碼;郵件+郵件驗證碼;認證器軟體+驗證碼,比如Microsoft Authenticator App,Google Authenticator App等等;硬體+驗證碼:比如網銀的電子密碼器;
  • GCF/PTCRB認證的測試解決方案
    根據全球認證論壇(GCF)或個人通信服務型號認證評估委員會(PTCRB)定義的音頻性能要求,驗證您的超寬帶3G