只需要两步：

1、首先单独部署一台双因素身份认证系统；

2、在想要做登录保护的Windows机器上部署一个专属的Agent客户端插件，和双因素认证认证系统对接实现联动；

1、首先单独部署一台双因素身份认证系统；

2、在想要做登录保护的Windows机器上部署一个专属的Agent客户端插件，和双因素认证认证系统对接实现联动；

就是这么简单，我们看下效果对比：

加固前：用户名、静态密码登录；

△双因素身份认证登录改造前

加固后：用户名、静态密码、动态口令登录；

△双因素身份认证登录改造后

加固前：用户名、静态密码登录；

△双因素身份认证登录改造前

加固后：用户名、静态密码、动态口令登录；

△双因素身份认证登录改造后

我觉得中科恒伦针对Windows安全登录有两点做的比较好的地方：

1、考虑到双因素身份认证服务器宕机的情况下，此时Windows无法向双因素身份认证服务器发送动态口令请求，所以为了能够正常使用动态口令安全登录，中科恒伦的Windows客户端插件做了动态口令本地认证微服务，当检测到双因素身份认证服务器宕机的情况下，会通过本地微服务做认证，这样用户就可以正常使用动态口令安全登录Windows；

2、因为动态口令是采用的时间型令牌，当令牌端和服务端的时间偏差超过设置的容错值时，是无法认证通过的，但是用户又特别着急登录Windows，针对这种情况，中科恒伦Windows客户端插件做了超级密码功能，当动态口令无论如何都认证不通过的情况下，可以使用超级密码应急登录，做到不影响业务正常开展；

1、考虑到双因素身份认证服务器宕机的情况下，此时Windows无法向双因素身份认证服务器发送动态口令请求，所以为了能够正常使用动态口令安全登录，中科恒伦的Windows客户端插件做了动态口令本地认证微服务，当检测到双因素身份认证服务器宕机的情况下，会通过本地微服务做认证，这样用户就可以正常使用动态口令安全登录Windows；

2、因为动态口令是采用的时间型令牌，当令牌端和服务端的时间偏差超过设置的容错值时，是无法认证通过的，但是用户又特别着急登录Windows，针对这种情况，中科恒伦Windows客户端插件做了超级密码功能，当动态口令无论如何都认证不通过的情况下，可以使用超级密码应急登录，做到不影响业务正常开展；

针对这两种情况我认为做的还是比较人性化的，能够很好的考虑到用户的实际使用需求，做到安全和便捷相结合；

适用于Windows登录的动态令牌表现形式上分为如两类：

软件令牌：APP令牌、微信小程序令牌、钉钉小程序令牌

硬件令牌：

采用动态口令保护Windows安全登录之所以能够极大的降低暴力破解几率，主要原因如下：

1、通常情况下动态口令是6位数，每1位由“0-9”10个数字组成，所以每个动态口令有100万种变化可能；

2、中科恒伦双因素身份认证系统后台可以设置错误尝试次数，比如3次，当错误超过3次，就会锁定当前账号（默认3分钟后自动解锁），此时服务端拒绝验证动态口令，此时被暴力破解的几率是3/100万；

3、正常动态码1分钟变换1次，所以等3分钟自动解锁后，动态口令已经变成了新的，前面的3次尝试无效，需要从头开始尝试，所以整体被暴力破解几率维持在3/100万；

1、通常情况下动态口令是6位数，每1位由“0-9”10个数字组成，所以每个动态口令有100万种变化可能；

2、中科恒伦双因素身份认证系统后台可以设置错误尝试次数，比如3次，当错误超过3次，就会锁定当前账号（默认3分钟后自动解锁），此时服务端拒绝验证动态口令，此时被暴力破解的几率是3/100万；

3、正常动态码1分钟变换1次，所以等3分钟自动解锁后，动态口令已经变成了新的，前面的3次尝试无效，需要从头开始尝试，所以整体被暴力破解几率维持在3/100万；

由此可见，采用中科恒伦双因素身份认证系统动态口令做Windows安全登录加固，可以非常有效的降低被暴力破解风险，体验上也非常出众，值得尝试！

第 1 页 共 4 页