Cisco VPN結合寧盾雙因素認證方案
達美樂借助寧盾,為企業Cisco VPN部署了雙因素認證服務平臺(DKEY AM),并采用了雙機互備高可用方案。
通過在Cisco VPN配置第三方認證(RADIUS),指向DKEY AM??膳c達美樂AD數據源對接,實現多系統統一帳號源。助力達美樂 Cisco VPN雙因素動態密碼加固,保護VPN賬號登錄安全。

為方便辦公,在動態密碼形式上,達美樂選用了寧盾的手機令牌。手機令牌與員工賬號進行綁定,只需要安裝在員工隨身攜帶的手機上即可,每隔60秒會自動生成一個隨機的6位數動態碼,不需要使用網絡,且無其他額外使用成本。
達美樂員工登錄VPN時,首先輸入用戶名為AD域控用戶名,輸入靜態密碼為AD域控密碼,然后提交認證,此過程為靜態密碼認證。
通過后,再輸入手機令牌上的6位動態密碼并提交,此過程為動態密碼認證。認證通過后方可放行,最終實現VPN接入的雙重保護,解決了弱密碼問題帶來的潛在安全隱患。
應用價值:
1、加固身份認證,提升賬號安全:
1) 時間令牌賬號加固:寧盾手機APP令牌通過將令牌種子與UTC時間基于SM3算法生成的一次性時間令牌,該令牌每隔固定時間變化一次,任何一個動態口令能且僅能認證一次,具有防暴力窮舉、防詞典輪詢優勢,有效保護登錄賬號安全。
2) 審計日志:詳細的賬號登錄日志,做到用戶登錄可追溯。
2、減少管理成本,提升運維管理效率:
1) 降低口令管理成本:通過增加動態口令,可有效減少口令定期更改次數、口令強度設定困擾、減少口令遺忘而帶來的管理成本;
2) 令牌綁定與派發:支持郵件掃碼、自服務平臺等多種方式的令牌派發與綁定,并可根據角色進行增量派發,提高運維管理的工作效率;
3) 令牌解綁:員工離職快速現實多應用場景統一解綁,有效保護企業賬號安全;
4) 風險賬號預警:限制口令錯誤次數,通過登錄鎖定,并以郵箱或短信的方式將非法賬號推送給管理員。