由于VPN接入使用静态密码帐号,存在使用者大量使用弱口令,黑客们可以通过木马、病毒等盗号程序或者暴力破解程序从VPN使用者主机中获得VPN Client的帐号密码,冒充授权用户登陆内部,由此很难保证远程的身份为授权用户,身份认证作为安全的第一道关口,如果密码被窃取,那么所有的保护措施都会失效。
动态口令
动态口令是公知的最为安全的手段,其变动来源于产生密码的运算因子是变化的。动态口令的产生因子一般都采用双运算因子:其一,为用户的静态密码。它代表用户身份的识别码,是固定不变的。其二,为变动因子。正是变动因子的不断变化,才产生了不断变动的动态口令。
动态口令牌 dKey T6
从安全和简便易用角度比较,动态口令牌作为第二因子认证工具较为理想。它外形小巧可爱,不用安装驱动,不用连接电脑,密码一分钟变化一次且不能重复使用。
主流动态口令牌是基于时间同步的硬件令牌,它每60秒变换一次动态口令,动态口令一次有效,它产生6位动态数字进行一次一密的方式认证。
VPN+动态口令牌身份认证解决方案
在VPN安全网关上配置使用RADIUS验证,将RADIUS服务器指向宁盾dKey动态口令认证服务器内置的RADIUS Server,不用对现有网络结构进行任何调整,也无需对VPN设备做任何修改,就可将VPN用户与动态口令身份认证系统相结合,对使用VPN接入的用户实现了高强度的安全身份认证。对于VPN产品的集成,无论是IPsec VPN,PPTP,还是SSL VPN,都能很好的同动态口令身份认证系统结合,<strong>从实际实施来看SSL VPN占绝对部分。
当企业用户通过动态口令登录VPN时,网络上的认证服务器会要求这些用户提交加密过的一次性的动态口令进行身份认证。
VPN+动态口令认证流程图 
方案优点
(1)大大提升VPN登录内部网络的安全
(2)动态口令牌使用十分便捷
(3)VPN 与 动态口令牌整合方便
-----------------------------------------------------------
宁盾专注动态密码身份认证(动态口令牌 | 短信密码)
http://www.ndkey.com.cn
-----------------------------------------------------------