Mobilná aplikácia
Tento scenár nastane, ak má používateľ nastavené len používanie metódy overenia cez OTP a/alebo Push a ak je klient RADIUS nakonfigurovaný na používanie metódy overenia Mobile Application OTPs a/alebo Mobile Application Push.
Používateľ sa prihlási pomocou hesla OTP vygenerovaného mobilnou aplikáciou alebo tak, že schváli push notifikáciu, ktorá sa zobrazí na jeho mobilnom zariadení so systémom Android/iOS alebo hodinkách kompatibilných so systémom Android/Apple Watch. Pri takejto konfigurácii dôrazne odporúčame použiť ako druhý autentifikačný faktor PIN kód.
Mobile Application s PIN kódom Ak má Mobile Application zapnutú ochranu PIN kódom, používateľ sa bude môcť prihlásiť pomocou nesprávneho PIN kódu, aby bol správny PIN kód chránený pred útokmi hrubou silou. Ak sa napríklad útočník pokúsi prihlásiť do Mobile Application s nesprávnym PIN kódom, môže mu byť povolený prístup, no OTP nebude fungovať. Po zadaní niekoľkých nesprávnych OTPsa 2FA používateľského účtu (do ktorého Mobile Application patrí) automaticky uzamkne. Pre bežného používateľa takýto mechanizmus predstavuje len zanedbateľný problém: ak sa používateľ náhodou prihlási do Mobile Application pomocou nesprávneho PIN kódu a potom zmení PIN kód, všetky tokeny obsiahnuté v Mobile Application budú nepoužiteľné. Takéto tokeny nie je možné opraviť – jediným riešením je opätovné poskytnutie tokenov do Mobile Application. Preto používateľom odporúčame, aby pred zmenou PIN kódu vyskúšali OTP – ak OTP funguje, je bezpečné zmeniť PIN kód. |
Podporované PPTP protokoly: PAP, MSCHAPv2.
Compound Authentication Enforced
Tento scenár nastane, ak je klient RADIUS nakonfigurovaný na používanie metódy overenia Compound Authentication. Táto metóda je obmedzená na používateľov, pre ktorých sa nastavilo používanie Mobile Application OTPs.
V tomto prípade sa používateľ prihlási do siete VPN zadaním hesla Active Directory (AD), ku ktorému pridá heslo OTP vygenerované cez Mobile Application. Ak je napríklad používateľovo heslo AD „heslo“ a vygenerované OTP je „123456“, používateľ zadá do príslušného poľa klienta VPN nasledujúci reťazec: heslo123456.
OTP a prázdne znaky Pre lepšiu čitateľnosť sa heslá OTP v mobilnej aplikácii zobrazujú s medzerou medzi treťou a štvrtou číslicou. V rámci všetkých metód overenia okrem MS-CHAPv2 sa medzery z poskytnutých prihlasovacích údajov odstránia, takže používateľ môže OTP zadať s prázdnym znakom aj bez neho – overenie to nijako neovplyvní. |