背景分析
随着虚拟化技术不断向前发展,许多单位面临着实施虚拟化的诱人理由,如服务器的整合、更快的硬件、使用上的简单、灵活的快照技术等。这都使得虚拟化更加引人注目。在有些机构中,虚拟化已经成为其架构中的重要组成部分。但我们更应该关注的是这种繁荣背后的隐患。
现有的虚拟化应用登陆方式绝大部分都是使用用户名+静态密码的认证方式。这种方式存在很大的问题。
密码过于简单,容易被猜测
用户密码长期不更换,容易泄露
容易遭到内部人员恶意操作
密码在无任何加密的情况下传输,容易被拦截
员工多个账号使用同一个密码,撞库的几率大大提升
一旦公司内部员工的密码被不法分子攻破,那么整个公司的信息全部流露在外面,其对公司的利益造成不可挽回的损失。
解决问题建议
智安芯双因素认证在虚拟化原有的账号密码的基础上,增加动态口令,通过令牌的方式实现账号的安全,消除弱口令所带来的潜在信息泄露风险。
认证步骤(以VMware View访问为例)
1、输入Vmware View账号及密码(AD/LDAP)中,并提交认证
2、Vmware View通过radius协议将帐号和加密后的口令提交给智安芯身份认证系统进行认证
3、智安芯身份认证系统将接收到的帐号与口令拿到LDAP上面去鉴权,如果鉴权成功,则智安芯身份认证系统通过Radius协议通知Vmware View弹出二级认证页面,如果短信方式,则同时出发短信随机码至用户手机
4、用户将动态密码(短信接收或令牌产生),填入二级认证页面,并提交至智安芯身份认证系统进行鉴权
认证步骤(以Citrix WI访问为例)
1、用户输入用户名和密码,动态密码登入虚拟化设备
2、虚拟化设备通过RASIUS 协议转发域账号信息至智安芯身份认证系统进行认证
3、智安芯身份认证系统通过RADIUS或者LDAP协议转发域账号信息至于认证服务器进行域账号查询
4、域账号返回认证结果给智安芯身份认证系统
5、如果认证成功,智安芯身份认证系统则会告诉虚拟设备,则登入成功。