之前写过两篇关于Windows双因素/双因子身份认证的文章,一个是《Windows操作系统双因素认证解决方案》,主要介绍使用动态口令的方式做双因素认证安全登录加固,另一篇是《用指纹做Windows双因素身份认证,即安全又方便》,主要介绍使用指纹的方式做双因素认证安全登录,今天聊一聊如何使用扫码登录的方式做Windows双因素/双因子身份认证

闲话不多说,直接上干货!


部署架构

使用扫码登录,实现Windows双因素/双因子身份认证_双因素认证

1、在Windows上安装CKEY AGENT插件,用于和服务端通讯以及实现Windows扫码登录效果;

2、部署一台CKEY SERVER双因素认证服务端,用户做二次认证;

3、增加一台CKEY 消息服务器,用于接收手机令牌确认登录消息,并转发至CKEY SERVER;

4、用户手机下载CKEY令牌,并在服务端和登录账号做绑定激活;

注意:

1、CKEY令牌可以访问CKEY消息服务器;

3、CKEY消息服务器可以访问CKEY SERVER;

4、Windows可以和CKEY SERVER互相访问;


登录流程

使用扫码登录,实现Windows双因素/双因子身份认证_Windows_02

1、输入用户名、静态密码,点击登录;

2、出现弹框,同时自动向CKEY SERVER发送一条包含该用户名的申请,为该登录账号申请二维码字符串;

3、CKEY SERVER为该账号生成二维码加密字符串,并返回给Windows;

4、Windows收到加密字符串,自动生成二维码呈现在弹框界面;

5、用户使用绑定了该登录账号的CKEY令牌扫描二维码并读取二维码信息;

6、点击确认登录,将账号信息和令牌信息一起发送至消息服务器申请登录;

7、消息服务器将信息转发至CKEY SERVER;

8、CKEY SERVER收到申请登录信息,验证账号和令牌的绑定关系,将结果发送至Windows;

9、Windows收到验证结果,当结果为真时,允许登录,当结果为假时,拒绝登录;;

这是简单的登录流程,非常详尽的底层交互逻辑以及各个参数是非常复杂的,这里不做赘述。


实现效果

1、输入用户名、静态密码;

使用扫码登录,实现Windows双因素/双因子身份认证_双因子认证_03

2、CKEY令牌扫描二维码确认登录;

使用扫码登录,实现Windows双因素/双因子身份认证_Windows_04

扫码登录优势

扫码登录在C端是非常常见的,比如登录电脑端各种网站,但用扫码认证登录Windows还是非常罕见的,这种形式贵在应用创新,主要应用于追求创新、个性化的企业IT场景。