OWA动态密码认证解决方案.docx

OWA动态密码认证解决方案
一、面临挑战
OWA是微软Outlook Web Access的简称。通过访问Outlook Web Access页面,邮箱用户可直接使用Web浏览器收发邮件,而不需要安装Outlook客户端软件。
在单一的静态密码验证机制下,登录密码是OWA安全的唯一防线。一旦被非合法用户窃听到OWA的登录密码,就意味着这个人能使用该密码查看到所有的邮件、地址簿等重要信息,可能带来巨大的安全威胁。
在OWA登录环节实现双因素认证,可双重保障邮箱账号安全,防止密码共享、密码泄露,一旦发生安全事件,也可追责到个人,有效控制信息安全威胁,因此不失为一种良策。
二、解决方案
宁盾OWA双因素认证解决方案概述
静态密码只能对OWA用户身份的真实性进行低级认证。宁盾双因素认证在OWA原有静态密码认证基础上增加第二重保护,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,提升账号安全,加强用户登录认证审计。
宁盾双因素认证服务器负责动态密码生成及验证,可同时无缝支持AD/LDAP/ACS等帐号源,接管OWA帐号的静态密码认证工作。通过在OWA配置第三方RADIUS认证,指向宁盾双因素认证服务器(内置RADIUS SERVER)。打开OWA进行用户名+静态密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),从而进行动态密码验证,通过之后方可放行。
宁盾动态密码形式
短信令牌
基于短信发送动态密码的形式。在用户完成OWA帐号密码认证之后,宁盾双因素认证服务器会随机生成一个一次性密码并通过短信网关发送到绑定的用户手机上,用户输入该短信密码并提交验证通过后才能完成登录认证。密码是一次性使用的,他人即使盗用了,也无法再次使用,从而能保证账号和信息的安全。
手机令牌
基于时间的动态密码,由手机APP生成。基于时间同步技术,宁盾令牌APP每60秒随机生成一个独一无二的动态验证码,宁盾认证服务器能够验证这个变化的密码是否有效。
硬件令牌
基于时间的动态密码,由硬件生成。硬件令牌每60秒产生一个6位随机密码,使用寿命3年。需要IT运维人员为OWA用户分发一枚宁盾硬件令牌,用户登录时输入静态密码+硬件令牌上显示的动态密码,验证通过即可完成登录。
OWA双因素认证流程
打开OWA登录页面;
输入用户名及密码,提交认证;
用户名密码认证通过,在