SSLを介して配信されるすべてのコンテンツと、ページタイムアウト、セッション固定、パスワードポリシーなどに細心の注意を払って、多要素認証(Andrew Waltersのコメントがほのめかしている)を調べます。
携帯電話に配信されるPINは、一般的に使用される2番目の要素です。
非常に多くの大規模なサイト(たとえば、GoogleやFacebook、彼らの銀行)がこのように運営されているため、これは「ユーザーにとって最も簡単」であると私は断言します。インストールするものも、学ぶべき新しいものもありません。
これは、ビジネスの観点からは望ましくありません。
VPNを使用してアクセスを制限しますか?(モバイルデバイスでは機能しません)
これは企業環境で一般的なオプションであり、通常は安全であると見なされます(ただし、パスワードポリシーなどの他のグッドプラクティスを放棄する言い訳にはなりません)。ただし、モバイルデバイス用のオプションはあります。
F5のSSLVPN、特にiOSおよびAndroidのモバイルアクセスに関するホワイトペーパーを参照してください。「iOSおよびAndroidデバイス用のBIG-IP Edge Portalアプリは、企業のWebアプリケーションへの安全なモバイルアクセスを合理化します[...]ユーザーは内部WebページにアクセスできますおよびWebアプリケーションを安全に。」
認証プロセスに別の要素を追加することでセキュリティを強化できます。PINが継続的に変化するトークンです。
クライアント証明書を使用することは可能ですか?
はい、可能です; それがビジネスニーズを満たしているかどうかは別の問題です(たとえば、そのようなソリューションの管理に必要なスキル/時間があります)。
このテーマに精通していない場合は、このKB記事を読むことをお勧めします(クイックリード)。
特定のマシンへのアクセスをロックダウンする場合は、IISのhttp://www.iis.net/downloads/microsoft/dynamic-ip-restrictionsを使用してください。アクセスできるIPを指定します>dhcpで静的に設定していることを確認します。これは、IISの給与ベンダーやクレジットカード会社が使用する「必要に応じたアクセスアプローチ」です。
1)VPNを使用してアクセスを制限しますか?
間違いなく動作します。使用できるマシンが制限されます。
2)Macアドレスを確認することはできますか?
ですが、MACアドレスがスプーフィングされる可能性があるため、安全な方法ではありません。
3)クライアント証明書を使用することは可能ですか?
それが実際の最善の策かもしれません。