防止用户使用QR密码、密码和扫描器进行身份验证

Question

发现一个用户使用QR代码登录到PC。显然，密码被放入QR代码生成器并打印出来。用户：

1. 提供它们的用户名。
2. 使用手持扫描仪扫描QR代码，并被授予访问权限。

我公司使用手持扫描仪有多种原因，因此不可能使用端点保护、USB设备控制来阻止所有扫描仪或品牌的扫描仪。该用户还使用手持扫描仪进行日常工作。我们很好奇有一种创造性的方法来防止技术上的这种情况。我们还计划通过政策从行政上解决这一问题。有一种意见认为，如果可能的话(通过GPO)：

1. 具有禁用扫描器的启动脚本
2. 禁用扫描器的注销脚本。
3. 重新启用扫描器的登录脚本。

手持扫描仪显然显示为设备管理器中的普通HID键盘。有没有人知道一个可行的方法来阻止这个问题，或者是解决这个问题的替代方案(在登录时阻止设备)？谢谢!

Answer 1

这不是一个真正的技术问题，而是一个可用性问题。如果您有一个密码策略，它需要唯一和不可猜测的密码，并且可能需要定期更改，那么用户需要找到一种方法来记住当前的密码。一种典型的方法是把它写下来，放在键盘下或者类似的东西下面。使用QR代码只是这种模式的又一次体现。

如果您不可能使用QR扫描仪，那么用户将找到其他方法来记住密码，这在任何方面都是不安全的。相反，您应该提供一些方法，这样用户实际上既可以安全又容易地处理身份验证，并且不需要处理损坏的密码策略。取决于您的环境，这可能是生物识别元素，如指纹，物理元素，如智能卡或令牌等。

Answer 2

在更多情况下，可能需要禁用和重新启用扫描仪。例如，如果使用Office 365或其他使用域登录的应用程序，即使用户已经登录Windows，这些应用程序也会定期询问用户密码。如果每次禁用扫描仪，可能会破坏用户对扫描仪的工作。

使用类似于Yubikey、Google、Nitrokey或类似的令牌。