達美樂比薩是一家國際連鎖披薩外送餐廳店，其員工在外網辦公環境下借助思科VPN訪問各種內部應用資源，采用域賬號密碼認證。當前員工的VPN賬號普遍存在弱密碼現象，易引起安全問題。為加強VPN登錄保護，達美樂選用寧盾雙因素認證解決方案，提升移動辦公賬號安全。
 
Cisco VPN結合寧盾雙因素認證方案

達美樂借助寧盾，為企業Cisco VPN部署了雙因素認證服務平臺（DKEY AM），并采用了雙機互備高可用方案。
通過在Cisco VPN配置第三方認證（RADIUS），指向DKEY AM?？膳c達美樂AD數據源對接，實現多系統統一帳號源。助力達美樂 Cisco VPN雙因素動態密碼加固，保護VPN賬號登錄安全。



為方便辦公，在動態密碼形式上，達美樂選用了寧盾的手機令牌。手機令牌與員工賬號進行綁定，只需要安裝在員工隨身攜帶的手機上即可，每隔60秒會自動生成一個隨機的6位數動態碼，不需要使用網絡，且無其他額外使用成本。
達美樂員工登錄VPN時，首先輸入用戶名為AD域控用戶名，輸入靜態密碼為AD域控密碼，然后提交認證，此過程為靜態密碼認證。
通過后，再輸入手機令牌上的6位動態密碼并提交，此過程為動態密碼認證。認證通過后方可放行，最終實現VPN接入的雙重保護，解決了弱密碼問題帶來的潛在安全隱患。


應用價值：
1、加固身份認證，提升賬號安全：
1)        時間令牌賬號加固：寧盾手機APP令牌通過將令牌種子與UTC時間基于SM3算法生成的一次性時間令牌，該令牌每隔固定時間變化一次，任何一個動態口令能且僅能認證一次，具有防暴力窮舉、防詞典輪詢優勢，有效保護登錄賬號安全。
2)        審計日志：詳細的賬號登錄日志，做到用戶登錄可追溯。
 
2、減少管理成本，提升運維管理效率：
1)        降低口令管理成本：通過增加動態口令，可有效減少口令定期更改次數、口令強度設定困擾、減少口令遺忘而帶來的管理成本；
2)        令牌綁定與派發：支持郵件掃碼、自服務平臺等多種方式的令牌派發與綁定，并可根據角色進行增量派發，提高運維管理的工作效率；
3)        令牌解綁：員工離職快速現實多應用場景統一解綁，有效保護企業賬號安全；
4)        風險賬號預警：限制口令錯誤次數，通過登錄鎖定，并以郵箱或短信的方式將非法賬號推送給管理員。