Мобільна програма

Цей сценарій застосовується, якщо для користувача налаштовано використання тільки OTP і (та) Push-сповіщень за умови, якщо для клієнта RADIUS налаштована автентифікація з використанням Mobile Application OTPs і Mobile Application Push.

Користувач виконає вхід із паролем OTP, згенерованим Mobile Application, або після підтвердження push-сповіщення, створеного на їхньому мобільному пристрої Android/iOS або годиннику Android/Apple Watch. Зауважте, що в цій конфігурації наполегливо рекомендується примусово вимагати введення PIN-коду як другого фактора автентифікації.


note

Захищена PIN-кодом Mobile Application

Якщо Mobile Application захищено PIN-кодом, користувач зможе входити за допомогою неправильного PIN-коду для захисту правильного PIN-коду від атак повним перебором. Наприклад, якщо зловмисник спробує ввійти в Mobile Application, указавши неправильний PIN-код, йому може бути надано доступ, проте OTP не працюватиме. Після кількох неправильних уведень коду OTP автоматично блокуватиметься 2FA облікового запису користувача (до якого належить Mobile Application). Для звичайного користувача це не є значною проблемою. Якщо користувач увійде в Mobile Application, указавши неправильний PIN-код, а потім змінить PIN-код, усі маркери Mobile Application стануть непридатними для використання. Ці маркери не можна відновити. Єдине рішення — заново виділити маркери для Mobile Application. З огляду на вищенаведене рекомендуємо користувачам перевіряти функціональність кодів OTP, перш ніж змінювати PIN-код. Якщо коди OTP працюють, можна безпечно змінити PIN-код.

Підтримувані протоколи PPTP: PAP, MSCHAPv2.

Compound Authentication Enforced

Цей сценарій застосовується, коли для клієнта RADIUS налаштовано використання Compound Authentication. Цей метод автентифікації діє лише для тих користувачів, для яких налаштоване використання Mobile Application OTPs.

У цьому сценарії користувач під час входу у VPN вводить пароль Active Directory (AD) додатково до OTP, згенерованого Mobile Application. Приклад: для AD задано пароль "password", а OTP має значення "123456". Користувач має ввести "password123456" у поле пароля в клієнті VPN.


note

Паролі OTP та пробіли

Паролі OTP відображаються в мобільній програмі з пробілом між третьою і четвертою цифрами (для кращого сприйняття). Для всіх способів автентифікації, за винятком MS-CHAPv2, зі вказаних облікових даних видаляються пробіли, тому користувач може застосовувати або видаляти пробіли, і це жодним чином не вплине на процес автентифікації.