建议同志们开启帐号登录双重验证,可有效增强帐号安全性

自由软件与信息安全

#1

我们的论坛系统提供了登录时的“双重验证”功能,通过设置基于 TOTP 双因子验证的【第二层密码】以抵御盗号者。

OTP 全称叫 One-time Password(一次性口令),也称动态口令;而 TOTP 即是基于时间的 OTP,是根据专门的算法通过事先同步过的共享秘密每隔 30 秒生成一个与时间相关的字符串用于认证,每个口令只有 30 秒的有效期。算法本身确保当且仅当共享秘密和系统时间(精确到 30 秒)都相同时,算出的动态口令才相同;而从动态口令(以及系统时间)反推共享秘密、以及在不知道共享秘密的前提下从某个时刻的动态口令推测之后的动态口令都十分困难,所以即使某条过期的动态口令泄露,安全性也不受影响。

开启双重验证后,用户登录不仅需要原密码,而且需要动态口令。二者皆通过才可登录。

Android上已经有支持导入 OTP 的自由软件。大家可从F-droid 下载安装 FreeOTP+OneTimePass 等 OTP 管理器 ,然后在自己的手机上部署论坛的动态口令,让自己手中的机器成为验证的第二利器。

以下是操作方法:

  1. 推荐先按照 https://www.mlzs.work/t/topic/5672/ 帖子的提示,先修改自己账户的密码为强密,然后安装 OTP 管理器。
  2. 正常登录论坛后,点击头像进入个人主页,点齿轮的“设置按钮”,进入帐号设置。在选项中找到“启用双重验证”,点击之。此时会要求输入当前登录密码以确认试图启用者并非冒名顶替。
  3. 通过验证后,会得到一个编码了随机生成的共享秘密的二维码(有效时间30秒)。用 OTP 管理器扫描之(此后该秘密便共享于论坛系统和 OTP 管理器之间),会在其中生成实例。
  4. 点击 OTP 管理器的实例,即可获得该实例当前的“动态口令”。有效时间30秒。

到这里就算是启用成功了。以后登录方式就将变为密码+动态口令的形式,请妥善保管存有账户动态口令实例的机器。

其他:

当你开启”双重验证“后,论坛也提供了应对某些特殊情况下遗失 OTP 的替代二次验证:在登录状态,进入设置里面,可以看到”生成备份码“的选项。一共可以生成十个备份码,一个备份码只能使用一次。备份码可以复制下来机密保存(如抄写到纸上保管在安全处),以便在 OTP 遗失时认证身份以重新设置 OTP。


自由软件推荐 -- Android篇
#2

相应号召,已开启


#3

已开启,重新登陆测试了一下,非常好用


#4

已开启。


#5

支持


#6

今天怎么回事,通过验证码登录不了论坛,只提示验证码使用过了,用备用码才登录上来的。


#7

多试几次。


#8

感谢提醒,已恢复正常,估计是网络系统时间出了问题。


#9

打扰各位同志了,之前开启了双重验证,然后前两天刷机装LineageOS忘记考虑这个事情了,现在在“设置–密码”里面无论是 停用双重验证 ,还是 启用备份码 都需要来自app(FreeOTP+)的验证码。请问现在这种情况是不是只有 发送邮件重置密码 一条办法可以解决?


在管理员帮助下已经重新启用了,感谢各位同志关心!
希望选择二次验证的同志们以我为戒,做好备份,数据无价!


#10

很遗憾,用邮箱修改密码仍然需要otp。


#11

刚刚点进重置密码连接,发现果然是。那现在还有解决办法吗?:joy:


#12

能找到那个用来设置otp二维码吗?不能的话就问问管理员,实在不行只好重新申请帐号了。


#13

可联系管理员关闭该帐号的二次验证。

otp管理器一般都有导出选项。