設置2因子認證

Question

我們正在建立一個新的網站，我們希望鎖定到特定的電腦只允許訪問，然後一旦pc被認證，我們將做我們建立的用戶認證。

此外，當一臺電腦已知時，我們並不真正想要任何可以輕易地轉移（通過客戶端）到另一臺電腦上的任何東西以訪問該網站。

請任何人都可以給我們一個關於實現這種「鎖定」的最佳方式的想法，我們並不真的想要走下AD路線並且有大量額外的用戶數據要維護。

在此先感謝。 Richard

Answer 1

IP和MAC地址是微不足道的惡搞。如果沒有可信任計算，您無法真正信任對PC進行身份驗證。你需要弄清楚的是你能做什麼讓你獲得可以接受的信任。以下是我們對「鎖定」令牌所做的工作：他們從PC獲取一些信息並對其進行散列並將該散列發送給auth服務器。任何OTP請求都需要伴隨該散列。這並不完美，但它也處理雙方的https驗證，所以它也能阻止基於網絡的MITM攻擊。如果令牌被盜，攻擊者還必須知道要欺騙和欺騙的信息。再一次，這不是完美的，但是鑑於當前的PC安全狀況，沒有比這更好的了。 http://www.wikidsystems.com/downloads/token-clients和我們的sourceforge頁面：http://sourceforge.net/projects/wikid-twofactor/

Answer 2

您網絡上的特定計算機？

在IIS中設置了一些IP限制，這假設你的DHCP盒子發出靜態IP。

用戶可以「轉讓」身份驗證的唯一方法是將他們的網卡與他們或克隆其MAC地址。

Answer 3

安裝Helicon Ape free並將.htacces and .htpasswd files放入您嘗試保護的網站的根目錄中。