ESET Secure Authentication – 目次

モバイルアプリケーション

このシナリオは、ユーザーがOTPやPushのみを使用するように設定され、RADIUSクライアントがMobile application OTPs認証やMobile application Push認証を使用するように設定されている場合に発生します。

ユーザーは、Mobile Applicationによって生成されたOTP、またはAndroid/iOSモバイルデバイスまたはAndroid/Apple Watchで生成されたプッシュ通知の承認によってログインします。この設定では、2番目の認証要素を提供するため、PINの施行を強く推奨します。

備考

PINで保護されたMobile Application

Mobile ApplicationPIN保護が有効になっている場合、ユーザーは誤ったPINコードを使用してログインし、正しいPINコードを総当たり攻撃から保護することができます。たとえば、攻撃者誤ったPINコードを使用してMobile Applicationにログインしようとすると、アクセスが許可される可能性がありますが、OTPは機能しません。いくつかの間違ったOTPを入力すると、ユーザーアカウント(Mobile Applicationが属する)の2FAは自動的にロックされます。これは、一般ユーザーにとっては軽微な問題であり、ユーザーが間違ったPINコードを使用してMobile Applicationにログインし、PINコードを新しいPINコードに変更すると、Mobile Applicationに含まれるすべてのトークンが使用できなくなります。このようなトークンを修復する方法はなく、唯一の解決策はトークンをMobile Applicationに再プロビジョニングすることです。したがって、PINコードを変更する前にOTPを試すことをお勧めします。OTPが機能する場合は、PINコードを変更しても安全です。

サポートされているPPTPプロトコル: PAP, MSCHAPv2。

Compound Authentication Enforced

このシナリオは、RADIUSクライアントがCompound Authenticationを使用するように設定されている場合に発生します。この認証方法は、Mobile application OTPsを使用するように設定されたユーザーに制限されています。

このシナリオでは、ユーザーがMobile Applicationによって生成されたOTPのほかに、Active Directory (AD)パスワードを入力して、VPNにログインします。たとえば、ADパスワードが「password」でOTPが「123456」の場合、ユーザーはVPNクライアントのパスワードフィールドに「password123456」を入力します。

備考

OTPと空白

読みやすさを向上させるために、モバイルアプリケーションではOTPの3桁目と4桁目の間にスペースが表示されます。MS-CHAPv2を除くすべての認証方法では、提供された資格情報から空白が取り除かれるため、ユーザーは認証に影響を与えることなく空白を含めたり除外したりできます。