邀请您参与 LadVen OS 测试申请演示
跳到主要内容

双因素认证(2FA)

双因素认证(2FA、MFA)在密码之外为登录增加了第二步验证。即使密码被他人获知,没有第二因素也无法登录账户。对企业而言,这是保护工作数据的基础防护:任务、客户、文档和沟通记录。

在 LadVen OS 中,每位员工都可以在自己的个人资料中自行启用 2FA,而管理员可以为整个公司以及外部参与者(外部门户)设定策略。

工作原理

启用 2FA 后,登录分为两个步骤:

  1. 像往常一样输入登录名和密码。
  2. 输入手机上身份验证器应用生成的一次性代码。

代码每隔几十秒变化一次,因此无法被重复使用或长时间截获。如果手机不可用,可以输入启用 2FA 时保存的其中一个恢复代码来代替。

如何在个人资料中启用 2FA

启用只需几分钟。请提前在手机上安装身份验证器应用:Google Authenticator、Microsoft Authenticator、Authy 或同类应用。

  1. 打开您的个人资料,找到含有双因素认证模块的安全部分。
  2. 点击启用 2FA。为确认身份,系统会要求输入当前密码。
  3. 屏幕上会出现一个二维码。打开身份验证器应用并扫描它——应用中会新增一条含有您的 LadVen OS 账户和不断变化代码的条目。
  4. 输入应用中的当前代码,以确认其配置正确。
  5. 系统会显示恢复代码。请立即保存——这是唯一一次它们完整可见的时刻。

激活后,2FA 将成为登录您账户的必要条件。

如果二维码无法扫描,通常可以在应用中通过代码旁显示的文本密钥手动添加账户。

恢复代码

恢复代码是一次性的备用代码,用于身份验证器应用不可用的情况:手机丢失、没电、更换或重新安装。

  • 将代码保存在可靠的地方:密码管理器、加密备忘录、保险箱中的打印件。不要与密码存放在一起,也不要在公开的聊天中转发。
  • 每个代码只能使用一次。使用后即失效。
  • 当代码用完,或您怀疑它们被他人看到时,请在个人资料中生成一组新代码。此时旧代码将全部失效。

恢复代码就是通往您账户的入口。请像对待密码一样对待它们。

受信任设备

为了避免每次从个人工作电脑登录都要输入代码,可以将浏览器标记为受信任。在受信任设备上,一段时间内不会要求输入第二因素。

  • 只将个人工作设备标记为受信任,而不是公用或他人的电脑。
  • 如果设备丢失或可能被他人取得访问权限,请撤销信任——下次登录时将重新要求输入第二因素。
  • 信任有时间限制,并保存在具体的浏览器中:清除浏览器数据后或到期后,会再次要求输入代码。

使用第二因素登录

启用 2FA 后,在输入登录名和密码之后会出现一次性代码的输入框:

  1. 打开身份验证器应用,查看 LadVen OS 的当前代码。
  2. 在代码变化之前输入它。如果没来得及,请等待新代码并输入。
  3. 如果应用不可用,请切换到输入恢复代码。

如果代码不匹配,请检查手机时间是否正确(身份验证器依赖精确的时间),以及您输入的代码是否确实针对 LadVen OS 账户,而不是其他服务。

如何关闭 2FA

可以在个人资料的同一部分关闭 2FA。系统会要求用密码和第二因素确认身份——这可以防止获得未锁定屏幕访问权限的他人将其关闭。

请谨慎关闭 2FA:账户将重新仅由密码保护。如果 2FA 是公司策略强制要求的,您无法自行关闭——请联系管理员。

管理员:公司 2FA 策略

管理员决定对哪些人强制要求第二因素。该策略针对门户员工和外部门户参与者分别配置,并有多个级别:

级别含义
已关闭2FA 不可用或不启用。
可选每个人自行启用 2FA;不作强制。
管理员必须启用拥有管理权限的员工必须使用 2FA。
所有人必须启用所有员工(或所有外部参与者)都必须启用 2FA。

请根据数据的敏感程度和团队的成熟度选择级别。切实可行的推广路线:先设为"可选"并请大家启用,然后是"管理员必须启用",待团队熟悉流程并了解恢复代码后,再设为"所有人必须启用"。

当强制策略生效时,尚未配置 2FA 的员工必须先完成设置才能继续工作。

管理员:重置员工的 2FA

如果员工失去了对第二因素的访问权限(手机和恢复代码均已丢失、离职并移交账户、账户被盗用),管理员可在员工列表中执行强制重置 2FA。这是一项敏感操作,因此需要确认。

重置后:

  • 员工当前的 2FA 配置被移除;
  • 如果强制策略生效,员工下次登录时需要重新完成设置;
  • 之前的恢复代码和受信任设备将全部失效。

在重置前请通过独立渠道核实员工身份:重置 2FA 会解除账户的防护,因此不能根据未经核实的请求执行。

良好实践

  • 为所有能访问客户、文档、财务或管理设置的人启用 2FA。
  • 启用时立即保存恢复代码,并与密码分开存放。
  • 不要将公用或他人的设备标记为受信任。
  • 分阶段引入强制策略,并提前告知团队恢复代码的事,以免有人失去访问权限。
  • 只有在通过可靠渠道核实员工身份后,才执行重置员工 2FA。

常见错误

  • 启用了 2FA 却没有保存恢复代码——手机丢失后只能通过管理员恢复访问权限。
  • 将恢复代码与密码存放在一起或放在公共聊天中——这使防护形同虚设。
  • 将公用电脑标记为受信任——第二因素不再保护登录。
  • 突然引入强制策略而不作预告——部分团队成员失去访问权限,并让管理员应接不暇地处理重置请求。
  • 手机时间不正确——尽管一切配置无误,身份验证器的代码却无法通过。

相关章节