モバイルアプリケーション
このシナリオは、ユーザーがOTPやPushのみを使用するように設定され、RADIUSクライアントがMobile application OTPs認証やMobile application Push認証を使用するように設定されている場合に発生します。
ユーザーは、Mobile Applicationによって生成されたOTP、またはAndroid/iOSモバイルデバイスまたはAndroid/Apple Watchで生成されたプッシュ通知の承認によってログインします。この設定では、2番目の認証要素を提供するために、PIN施行が強く推奨されています。
|
PINで保護されたMobile Application Mobile ApplicationのPIN保護が有効になっている場合、ユーザーは誤ったPINコードを使用してログインし、正しいPINコードを総当たり攻撃から保護することができます。たとえば、攻撃者が誤ったPINコードを使用してMobile Applicationにログインを試みた場合、アクセスが許可される可能性がありますが、OTPは機能しません。誤ったOTPを何回か入力すると、(Mobile Applicationが属する)ユーザーアカウントの2FAは自動的にロックされます。これは、一般ユーザーにとっては軽微な問題です。ユーザーが誤ったPINコードを使用してMobile Applicationにログインし、PINコードを新しいPINコードに変更すると、Mobile Applicationに含まれるすべてのトークンが使用できなくなります。このようなトークンを修復する方法はなく、唯一の解決策はトークンをMobile Applicationに再プロビジョニングすることです。したがって、PINコードを変更する前にOTPを試すことをお勧めします。OTPが機能する場合は、PINコードを変更しても安全です。 |
サポートされているPPTPプロトコル: PAP, MSCHAPv2。
Compound Authentication Enforced
このシナリオは、RADIUSクライアントがCompound Authenticationを使用するように設定されている場合に発生します。この認証方法は、Mobile application OTPsを使用するように設定されたユーザーに制限されています。
このシナリオでは、ユーザーは、Mobile Applicationによって生成されたOTPに加えて、Active Directory (AD)パスワードを入力してVPNにログインします。たとえば、ADパスワードが「password」でOTPが「123456」の場合、ユーザーはVPNクライアントのパスワードフィールドに「password123456」を入力します。
|
OTPと空白 OTPは、読みやすさを向上するために、モバイルアプリケーションでは3桁目と4桁目の間に空白が表示されます。MS-CHAPv2を除くすべての認証方法では、提供された資格情報から空白が削除されるため、ユーザーは認証に影響を与えることなく空白を含めたり除外したりできます。 |