双因子认证原理？

双因子认证由认证服务器软件和动态令牌两部分组成。动态令牌可以是手机APP形式、短信形式、硬件令牌形式，还可以是 小程序、企业微信H5等形式，另外为方便用户使用，后续延伸了推送认证、生物识别等认证方式。其中传统的动态令牌认证形式为OTP令牌形式。

原因在于 OTP （One Time Password）令牌 每隔固定时间产生一次口令，每个口令有且仅有一次验证机会，一旦验证，立即失效。每个令牌和认证服务器通过令牌序列号、账号名绑定。令牌种子分别存储于令牌和认证服务器的安全区，令牌种子与设备的当前时间通过密码杂凑算法（SM3）每隔固定时间产生一次动态口令。

认证服务器和动态令牌产生的动态口令都是成对存在，因此认证过程中动态令牌和认证服务器没有直接通讯。用户验证时，在账号密码的基础上输入动态令牌对应的动态密码进行二次校验。需要注意的是，账号密码由设备原本的账号源进行校验，动态密码由认证服务器进行校验。只有在账号密码和动态密码全部校验成功的情况下才可验证成功。

1在iKEY动态密码令牌上输入开机码完成令牌开机。

2进入应用登录界面，输入用户名并获取挑战码数字。

3在iKEY动态密码令牌上输入挑战码数字后获得动态密码。

4在动态密码输入框输入iKEY动态密码令牌显示的动态密码。

5认证服务器验证用户信息和用户提交动态密码的正确性。

6认证服务器将认证结果反馈给应用服务器或应用程序，完成用户身份认证。

Windows桌面双因素认证流程是什么？

双重保护免受安全漏洞攻击

随着安全漏洞数量每天都在增加，仅依靠用户名和密码来保护用户帐户已不再是一种选择。除了使密码更强大之外，更可行的解决方案是添加额外的安全层来过滤未经授权的用户。双因素身份验证-一种使用用户已知和已有的东西对用户进行身份验证的方法，使这一切成为可能。

使用ADSelfServicePlus登录Windows

启用ADSelfServicePlus“Windows登录TFA功能，用户必须在连续的两个阶段中对自己进行身份验证，才能访问其Windows计算机。第一级身份验证是通过他们知道的东西：他们通常的Windows凭据。第二级身份验证-他们拥有的一些东西-可以通过以下方式之一：

安全问题与答案

邮件验证

短信验证

Google身份验证器

DuoSecurity

RSASecurID

RADIUS认证

推送通知认证

指纹认证

基于二维码的身份验证

Microsoft身份验证器

TOTP认证

基于AD的安全问题

Windows登录TFA确保即使在密码被泄露的情况下也不会对敏感数据造成任何风险。也就是说，即使未经授权的用户获得了对用户密码的访问权限，他们仍然需要访问用户的电话或邮件才能获得验证码。此外，SMS和基于电子邮件的验证码以及来自DuoSecurity和RSASecurID的身份验证码对于每个用户都是唯一的。这些代码只能使用一次，并且如果在一定时间内未使用它们就会过期。

启用Windows登录TFA后，会将TFA添加到所有Windows本地和远程登录尝试中。

ADSelfServicePlus在以下操作系统上支持Windows登录TFA：

WindowsVista及更高版本。

WindowsServer2008及更高版本。

宁盾双因素认证系统优缺点？

最大的优点就是兼容性好，各类网络设备、操作系统、堡垒机、网站及应用，宁盾双因素认证系统可无缝支持AD/LDAP账号源、Web内建账号源等、无需改变现有的账号管理模式，实现快速对接。满足国家等保20合规性要求，有国密SM3算法资质；缺点是有点小贵。

什么是双因素身份认证

双因素认证是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥，该密钥同时存放在服务器端，每次认证时动态密码卡与服务器分别根据同样的密钥，同样的随机参数和同样的算法计算了认证的动态密码，从而确保密码的一致性，从而实现了用户的认证。

因每次认证时的随机参数不同，所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性，从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失，防止恶意入侵者或人为破坏，解决由口令泄密导致的入侵问题。

扩展资料：

双因素认证常用在以下场景：

1、无线网络的保护；

2、对路由器、交换机和防火墙等网络设备的双因素身份认证；

3、对各种***的双因素身份认证；

4、对UNIX、Linux及Windows等操作系统保护；

5、对不同的Web服务器的保护；

6、对各种C/S应用系统保护；

-身份认证

-双因素认证

请问一下，宁盾双因素身份认证是个什么东西？大家有啥好建议

宁盾双因素身份认证系统是一套提供动态密码生成、认证和审计功能的系统，将动态密码与原有账号密码认证结合，实现双因子认证保障，有效保护企业应用系统安全，同时能够帮助企业实现对应用访问账户的审计。

宁盾双因素身份认证系统可提供短信认证、硬件令牌、手机令牌、手机推送、H5令牌等十几种动态密码认证形式，并支持内建/AD/LDAP等第三方账号密码认证，用户根据自身应用状况，选择合适的动态密码形式，是一种安全与便捷完美结合的双因素身份认证解决方案。

请问一下，Office365的双因素认证怎么实现？大家有推荐不

在Office365原有静态密码认证基础上增加第二重保护，宁盾双因素认证结合ADFS联合认证，通过提供多种形式的一次性动态令牌实现双因素认证，提升账号安全，避免因密码共享/泄露或破解造成的账号被盗用，一旦发生安全事件也可追责到个人，加强用户登录认证审计。

具体Office365双因素认证实现流程是：员工访问office365时，首先跳转到ADFS登录页面进行域身份验证。验证成功后进入动态密码验证页面。ADFS服务器将动态密码身份信息传递给宁盾认证服务器进行验证。验证通过，跳转回office365。至此双因素认证登录过程完成。

企业为什么要做双因素认证？

简单来说，双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。例如，在ATM上取款的银行卡就是一个双因素认证机制的例子，需要知道取款密码和银行卡这二个要素结合才能使用。

目前主流的双因素认证系统是基于时间同步型，市场占有率高的有DKEY双因素认证系统、RSA双因素认证系统等，由于DKEY增加对短信密码认证及短信+令牌混合认证支持，相比RSA,DKEY双因素认证系统更具竞争力。

静态口令

静态口令的实际就是一个口令字，口令字是一个受保护的字符串，通常用于个人身份的认证，口令字属于上面三种方式中

的“他知道的内容”。口令字是日常使用最为普遍的一种认证方式，但是安全性也是最脆弱的一种认证方式，口令字很容易被别人偷窥或者通过猜测你的名字、生日、配偶的名字等猜测出来，复杂的口令字用户很难记住，因此常常会将口令写到便签纸上，这样就很容易给别人可乘之机。

动态口令

动态口令也叫做一次性口令字，它比静态口令安全的多，用户在一次应用中使用一个动态口令，在操作完成以后将废除这个口令字，因此黑客即使获得了动态口令也是没有用的。动态口令一般分为两种:同步和异步，主要是通过与服务器通讯的硬件令牌产生。同步的动态口令是硬件令牌与服务器端的进行同步的设置，这种同步可以是基于时间的同步，也可以是基于事件的同步，根据同步的类型硬件令牌生成一次性口令字，同时服务器端也可以认证这个口令的有效性;异步的动态口令是硬件令牌通过与服务器完成质询/应答的过程进行认证口令的。