Kaksivaiheinen tunnistautuminen

Kaksivaiheinen tunnistautuminen on toiminto, joka parantaa käyttäjän tunnistamista vaatimalla käyttäjätunnusta ja salasanaa sekä koodia ulkoisesta fyysisestä laitteesta.

Tämä tekee käytännössä mahdottomaksi mm. tietyt käyttäjäryhmät (esim. järjestelmänvalvojat) käyttämään jaettuja tunnistetietoja.

(Jaettujen tunnistetietojen käyttö tekisi lähes mahdottomaksi esimerkiksi seurata tiettyjä käyttäjän toimintoja tarkastuslokeista myöhemmin.)

Määrittäminen:

1. Järjestelmänvalvoja ottaa käyttöön 2-vaiheisen todennuksen tietylle käyttäjäryhmälle.

   

2. Kun ryhmän käyttäjä yrittää kirjautua sisään ensimmäistä kertaa, käyttäjää pyydetään käyttämään tai asentamaan mobiililaitteeseensa kaksivaiheinen todennusohjelma (esim. Authy, Google authenticator, MS Authenticator (saatavilla ilmaiseksi)).

3. VMS ja todennus-sovellus synkronoidaan sitten VMS-ohjelmiston kanssa.

4. Tämä tapahtuu siirtämällä VMS:n luoma "salainen avain" todennusohjelmistoon QR-koodin kautta tai kirjoittamalla se suoraan ohjelmistoon.

Esimerkki:

Tämän jälkeen todennusohjelma luo automaattisesti uudet kertaluonteiset salasanat.

(Salasanat vaihtuvat ajoittain ja synkronoidaan, koska VMS-kelloilla ja todennussovelluksella on sama aika.

Huomaa, että tämä ei vaadi suoraa tietoliikenneyhteyttä ohjelmiston välillä.)

Kirjautuminen:

1. Käyttäjä antaa VMS:lle tavalliset tunnistetiedot (käyttäjätunnus, salasana)

2. VMS pyytää todennuskoodia todennussovelluksesta jokaiselle kirjautumiselle.

3. Käyttäjä antaa kertaluonteisen salasanan todennussovelluksesta. Käyttäjä kirjoittaa ne VMS-sovellukseen.

   

Ylläpito:

1. Jos käyttäjä unohtaa 2-vaiheisen salaisen avaimensa, järjestelmänvalvoja voi nollata avaimen järjestelmänhallinnasta.

2. 2-vaiheisen salaisen avaimen nollauksen jälkeen käyttäjän on päivitettävä yksityinen avain seuraavan kerran kirjautuessaan sisään. (Katso kohta 2).