中小型企业的无口令化体验

无口令化的体验到底是什么样，我们通过一家客户来具体看一下。这是一家100人左右的外包软件企业，这家企业有自己的产品、研发、销售团队。

门禁：大厦门禁系统，硬件实验室有单独门禁

网络：自有的wifi、cisco vpn

电脑：win 10笔记本、mac

OA系统：企业微信

邮箱系统：企业微信邮箱

服务器：内网自建、两家云服务

手机：android、iOS

系统：CRM、财务系统、企业微信后台、微信开放平台、各种国家财务网站、产品研发（禅道、jumpserver、wiki、jenkins、hadoop、hive）

无口令平台部署于SaaS云平台，使用了云服务商提供的安全防护、TEE级的密钥管理系统。

1、企业微信扫码：

用于web应用登录，当用户加入公司后，这是默认开启的认证方式。

2、企业微信、微信小程序：支持推送+生物特征、OTP+生物特征

推送+生物特征：通过微信推送，要求用户确认，确认后使用指纹、人脸进行验证。

OTP+生物特征：OTP在开通过程中存储密钥信息到小程序空间中，认证时待用户通过指纹、人脸确认后，生成OTP。

一些传统系统，使用radius、kerberos协议时，otp是最优的无口令化选择。

3、Win Hello 和 Mac KeyChain

密钥存储于设备安全芯片中，使用设备自带指纹、口令解锁密钥，是最安全便捷多因子认证方案。

4、短信验证码

根据场景和安全性，进行如下总结：

1.管理员将员工拉入公司企业微信，分配必要的权限，开通企业微信扫码登录；

2.无口令系统自动同步用户信息；

3.管理员通过无口令系统，管理员工可以使用的web应用；

4.员工首次登录无口令系统，使用企业微信扫码登录；

5.进入系统后，须绑定微信小程序，可选绑定win hello或mac keychain。

管理员将员工从企业微信删除，无口令系统自动处理用户删除。

1.通过企业微信客户端、网站登入，可进入无口令系统门户；

2.通过门户进行免口令跳转。

1.通过命令行进入大数据系统，比如hadoop、hive；

2.使用小程序OTP，在界面中录入OTP完成相应授权。

1.通过命令行进入VPN登录界面，当前为openVPN；

2.使用小程序OTP，在界面中录入OTP完成相应授权。

1.管理员在进行wifi配置时，使用无口令平台提供的portal界面，当前设备为华为无线路由；

2.在界面中，使用短信验证码、小程序、win hello完成最终认证。

1.管理员将服务器，通过jumpserver堡垒机进行管理。对某个员工，管理员需要在jumpserver中配置使用的服务器；

2.员工通过企业微信客户端、网站登入，可进入无口令系统门户；

3.有权限员工，可看见jumpserver入口；

4.点击进行无口令跳转；

5.在jumpserver中进行系统管理、维护。

1.有些SaaS应用，常为多位员工，共享一个账户。比如当前公司的微信公众号、阿里云维护平台、招聘平台、应用商店。管理员在设置应用后，可以选择哪些用户可以使用当前账号；

2.员工通过企业微信客户端、网站登入，可进入无口令系统门户；

3.有权限员工，可看见当前应用入口；

4.点击进行无口令跳转。

1.当某些紧急情况，员工可以选择将账户临时交由其它员工使用。在没有无口令平台时，只能分享账户、密码，现在无口令平台可以支持员工设置临时授权。管理员可以对有这类需求应用，单独开启临时授权；

2.员工通过企业微信客户端、网站登入，可进入无口令系统门户；

3.有权限员工，可看见当前应用入口；

4.对需要临时分享的账户，进行设置，可设置时间、次数；

5.分享账户登录无口令平台，即可看见当前登录入口。