问Windows AD凭据是否与AD组成员身份验证相结合？

EN

“双因素认证”的概念不是严格定义的数学概念。然而，通常情况下，它涉及到两个认证因素。

第二个术语很重要:您试图对用户进行身份验证，即确保用户确实在行的另一端。现在就来。当查找AD服务器中的帐户成员资格时，您不会验证用户是否在那里。实际上，即使用户根本不存在，用户帐户仍然是组的成员。因此，验证组成员资格根本不是身份验证。广告里没有什么能告诉你：“是的，你现在正在和鲍勃说话”。充其量，AD会告诉您：“存在一个名为Bob的用户”。

广告组成员身份不是身份验证。因此，它们不能成为身份验证因素。AD组成员关系是授权，这是一个完全不同的概念。

因素如下：

1. 你知道的-例如密码
2. 你拥有的东西--例如智能卡或记号
3. 你是什么-生物特征

双因素身份验证需要来自不同集合的上述两项。例如，一个引脚和一个密码仍然是单一因素，因为它是两个“您知道的东西”项目。

一个证书，虽然在技术上被归类为你拥有的东西，但经常会被数字窃取。这意味着，如果最终用户被感染，我的恶意软件，如宙斯，他们的凭据和他们的证书经常可以提取，允许帐户妥协。如果证书存储在硬件安全模块或TPM中，则可以非常安全。

同样地，一些基于电话的计划可以被认为是一个真正的“你有因素的东西”，尽管应该再次小心。

您的AD组成员身份是授权而不是身份验证。