Настройка двухфакторной аутентификации

Question

Мы находимся в процессе создания нового веб-сайта, который мы хотим заблокировать для определенных компьютеров, чтобы разрешить только доступ, а затем, когда компьютер будет аутентифицирован, мы сделаем нашу встроенную аутентификацию пользователя.

Кроме того, когда компьютер известен, мы действительно не хотим, чтобы на компьютере было что-либо, что может быть легко перенесено (клиентом) на другой компьютер для получения доступа к веб-сайту.

Пожалуйста, кто-нибудь может дать нам представление о лучшем способе достижения этой «блокировки», мы действительно не хотим идти по маршруту AD и иметь множество дополнительных пользовательских данных для обслуживания.

Спасибо заранее. Ричард

Answer 1

IP и MAC-адреса тривиально подделать.Без Trusted Computing, вы не можете доверять аутентификации ПК.Что вам нужно выяснить, так это то, что вы можете сделать, чтобы получить приемлемый уровень доверия.Вот что мы сделали с нашими «заблокированными» токенами: они берут некоторую информацию с ПК, хэшируют их и отправляют этот хэш на сервер аутентификации.Любые запросы на OTP должны сопровождаться этим хешем.Он не идеален, но также обрабатывает взаимную аутентификацию https, поэтому он также предотвращает сетевые атаки MITM.Если токен украден, злоумышленник также должен знать, какую информацию подделать и подделать.Опять же, это не идеально, но лучше, чем ничего, учитывая текущее состояние безопасности ПК.http://www.wikidsystems.com/downloads/token-clients и наша страница sourceforge: http://sourceforge.net/projects/wikid-twofactor/

Answer 2

определенных компьютеров в вашей сети?

установить некоторые ограничения IP в IIS, это предполагает, что ваш DHCP-сервер выдает статические IP-адреса.

Единственный способ, которым пользователь может "передать" аутентификациюэто взять их NIC с собой или клонировать его MAC-адрес.

Answer 3

Установите Helicon Ape бесплатно и поместите .htacces и .htpasswd файлы в корень сайта, который вы пытаетесь защитить.