web-dev-qa-db-ja.com

ユーザーの電話なしで2FAを実装する方法

問題があります。ユーザーが自分の資格情報を他のユーザーと共有しています。ユーザーが自分の資格情報を使用してシステムにアクセスできるようにする方法を作成する必要があります。 2要素認証を作成すると思いますが、ユーザーの電話を使用できません。ハードウェア(生体認証デバイスなど)ではなく、ソフトウェアを使用してこれを行う方法を知っている人はいますか?

ユーザーの教育に関するソリューションを破棄する詳細があります。一部のユーザーは、彼らの資格情報が盗まれ、元役人によって使用されたと報告しており、残念ながら、私たちはこの状況で実際の事件がありました。

2
Carlos Alves

2要素ログインは、3つの事柄のうち2つで構成されています。パスワードは知られているものなので、自分が持っている、または持っているものを実装する必要があります。バイオメトリクス、すなわち「人を測定する」;アイリススキャナー、指紋スキャナー、声紋、ハンドスキャナー、顔認識は、特殊な機器を必要とする生体認証の例であるか、または ドルの店にアクセスできる人に簡単に騙される可能性があります 。したがって、人間による監視がない限り、生体認証は機能しません。

だから、あなたが持っているものを残します。

これを行うための簡単で厄介な方法は、ユーザーのコンピューターへのログインを制限することです。もちろん、あなたはボブのパスワードを知っていますが、彼のコンピューターを持っていません。そのため、ログインは失敗します。それが、最も安価な方法です。それ以外の場合は、ハードウェアトークンを発行できます。次に、ハードウェアトークンからパスワードとコードを入力するか、ハードウェアトークンをUSBポートに挿入します。

ソフトウェアを介してこれを行うことへの挑戦は、あなたが持っている、または持っているものにすることです。定義上、ソフトウェアは一般的にはどちらでもありません。

PSあなたはすでにこれを知っていますが、パスワードを共有する人々に大きな問題があります。事実上、あなたは監査証跡も、ログインの下で行われたことに対して誰かに責任を明確にさせる方法もありません。あなたはすでにそれを知っていたと思います...

8
baldPrussian

私は以前のコメントを適切な答えに変えています

社内でのアカウント共有を停止するソリューションは、

ユーザーを教育し、登録を便利にする

ユーザーが知らされていないユーザーがアカウントを共有するのを妨げるような仕掛けはありません。 2FAがその人とどの程度結合しているかに関係なく。ログイン時にDNAサンプルを要求すると、デスクのほかに唾液の瓶を保管するよう促されます。

ユーザーを教育し、監査証跡の損失がユーザー(およびその同僚)にとってなぜ悪いのかを説明します。

登録が面倒な場合は、簡単に登録してください。たとえば、あなた(管理者)にメールを送信する代わりに、従業員IDで登録できる簡単なWebフォームを作成する場合があります。
アカウント共有の停止に関しては、エントリの境界を低くすることは常に良いことです。


質問が編集された後、この回答は廃止されました

3
BlueWizard