双重验证 (2FA)

您可以为 DSM 帐户设置双重验证 (2FA),并信任经常用于访问 DSM 的设备。通过强制执行第二步身份验证,您可为帐户提供额外一层保护,并形成防范黑客攻击的屏障。对于第二步,您可以从以下选项中进行选择:使用硬件安全密钥、使用移动设备实现批准登录或是 OTP(一次性验证码)。

可在 DSM 和所有相关的 Synology 移动应用程序(如群晖管家和 DS file)中强制进行 2FA。大多数 Synology 服务(包括套件、移动应用程序和实用程序)都支持 2FA。但是,某些服务可能不完全支持此功能。

注意:

  • 当您启用 2FA 并选择批准登录或硬件安全密钥选项时,建议将 OTP 设置为备份登录方法,以防您在没有网络服务时无法登录。
  • 如果您使用 Synology 移动应用程序或实用程序,则必须进行 OTP 设置,因为批准登录和硬件安全密钥仅支持 Web 登录。
  • 建议下载 Synology Secure SignIn(Android 和 iOS 上都可使用的一款移动应用程序)以设置 2FA。您还可以使用第三方验证应用程序(如 Google Authenticator),只要其支持 DSM 所使用的以时间单位的一次性密码 (TOTP) 协议即可。

若要启用双重验证 (2FA):

前往 DSM > 个人 > 帐户并单击双重验证

  • 如果已在 DSM > 控制面板 > Synology 帐户 中登录 Synology 帐户,则可以从批准登录、验证码 (OTP) 或硬件安全密钥中选择第二步登录验证。
  • 如果尚未登录 Synology 帐户,则验证码 (OTP) 是第二步登录验证的唯一可用选项。

请参阅以下各部分以设置三种类型的登录方法。

若要设置批准登录或硬件安全密钥:

按照批准登录硬件安全密钥中的说明进行操作。

若要设置 OTP:

您可以选择批准登录或硬件安全密钥作为第二步登录验证,并使用 OTP 作为备份选项。

  1. 选择验证码 (OTP),输入密码,然后按照设置向导的说明进行操作。
  2. 出现提示时,在您的移动设备上下载并安装 Synology Secure SignIn(在 Android 和 iOS 上都可用)或任何第三方验证应用程序。打开验证应用程序并扫描屏幕上的二维码。验证应用程序随后会生成 6 位数验证码。
    如果无法扫描二维码,请单击向导中的无法扫描链接以获取密钥,然后将密钥输入验证应用程序。
  3. DSM 中,在向导的文本字段中输入此验证码。单击下一步
  4. 确认备份电子邮件设置。当您丢失已配对设备时,可以请求将紧急验证码发送到此电子邮件地址。
    • 如果已配置系统的电子邮件通知,则会自动填写电子邮件地址。
    • 如果未配置系统的默认电子邮件通知,则系统将要求您先进行设置,然后再继续。
  5. 设置向导完成后,单击完成来保存设置。
  6. 如果您已成功完成验证码设置,则 2FA 会启用。

注意:

  • 如果验证码出现错误,请确认您的移动设备和 DSM 的系统时间同步。此外,由于验证码会定期更新,请确保输入的验证码未失效。
  • 如果已配置批准登录或硬件安全密钥,则在开启 2FA 后即可开始使用,而无需进行额外配置。
  • 您可以在 DSM > 个人 > 帐户 > 双重验证中管理和查看所有 2FA 登录方法。

若要使用双重验证 (2FA) 来登录 DSM:

启用 2FA 后,在登录 DSM 时,系统将提示您使用批准登录、硬件安全密钥或输入 OTP 码。

  1. 在 DSM 登录页面,照常输入您的用户名。
  2. 输入密码并点击 Enter 或单击向右箭头。
  3. 系统将提示您使用默认方法进行第二步身份验证。按照屏幕上的说明进行操作。
  4. 您也可以单击尝试其他登录方法以使用其他登录方法。
  5. 如果您无法使用任何登录方法或移动设备丢失,请单击您的移动设备已丢失?链接,紧急验证码将发送到您的电子邮件地址。

注意:

  • SMTP 设置:若要通过电子邮件接收紧急验证码,必须正确设置 SMTP 服务器设置。前往个人 > 电子邮件投递以检查设置。
  • 紧急验证码上限:每个用户最多只能使用 5 次紧急验证码。如果超出上限,您必须先禁用 2FA,然后再次启用,才能接收更多的紧急验证码。

若要禁用双重验证 (2FA):

若要禁用 2FA,请前往个人 > 帐户 > 双重验证,输入密码,然后单击关闭。禁用 2FA 不会移除已配置用于批准登录和 2FA 的设备。下次启用此功能时,您可以继续使用已配置设备。

注意:

如果您无法登录 DSM,则可以通过以下方式禁用 2FA:

  • 如果您是属于 administrators 群组的用户,则可以为其他用户禁用此选项。前往控制面板 > 用户和群组,双击要为其禁用 2FA 的用户,然后单击信息选项卡上的禁用双重验证
  • 如果您属于 administrators 群组,并且没有其他 administrator 用户重置您的 2FA,则可以按 Synology NAS 上的 RESET 按钮来重置 DSM 并禁用 2FA。要了解更多信息,请参阅本文

 

若要管理信任的设备:

如果已配置 2FA,请前往个人 > 帐户 > 双重验证 > 管理信任的设备 > 管理以管理设备。您可以记住某台设备,让它跳过第二步验证。您还可以撤销记住的设备。

  • 单击记住本设备可记住设备。如果此设备已获得信任,则在不想再记住此设备时可以单击撤销
  • 单击撤销其他设备可停止记住已记住的其他设备,例如,其他计算机或移动设备。这意味着以后当您在这些设备上登录 DSM 时需要进行 2FA。

注意:

记住的设备仅在您登录同一帐户并从同一浏览器登录时才可被识别。即使您之前已将某台设备标记为记住的设备,在以下情形中您仍需要进行 2FA:

  • 您以同一帐户但在不同的浏览器上登录。
  • 您的 Cookie 已从浏览器中移除。
  • 您在以用户 A 登录时将一台设备标记为记住,然后在以用户 B 登录时又将同一设备标记为记住。当您再次以用户 A 登录时,仍需要进行 2FA。利用谷歌身份验证器(Google Authenticator)绑定群晖账户实现验证码登录。​两步验证登录是公认的低成本高强度账号保护技术,很多安全等级较高的网站或软件都采用此种方式进行登录,在一定程度上可以杜绝安全事件的发生。当然我们还要有安全防范意识,比如设置具有复杂度的密码、定期更换密码、注意绑定邮箱的安全等。​

    实现使用的群晖版本是:DS918+_7.0.1-42218​

    开启群晖双重验证(密码+动态验证码)_移动端

    手机端:Google身份验证器5.10​

    1、管理员登录,并设置管理员账户的绑定​

    控制面板-安全性-账户-勾选“强制以下用户启用双重验证”-所有用户-应用-立即设置​

    开启群晖双重验证(密码+动态验证码)_双重验证_02

    开启群晖双重验证(密码+动态验证码)_双重验证_03

    开始设置​

    开启群晖双重验证(密码+动态验证码)_身份验证_04

    手机扫描二维码安装移动端​

    开启群晖双重验证(密码+动态验证码)_群晖_05

    用移动端扫描下方的二维码进行手机端和账户的绑定​

    开启群晖双重验证(密码+动态验证码)_移动端_06

    填写备份邮件,可以通过邮件重置。​

    开启群晖双重验证(密码+动态验证码)_手机端_07

    确认信息,并完成​

    开启群晖双重验证(密码+动态验证码)_群晖_08

    重新登录,即需要密码和动态验证码双重验证。​

    开启群晖双重验证(密码+动态验证码)_身份验证_09

    2、其他用户的绑定​

    由于管理配置所有用户都需要使用双重验证。通过管理员添加测试账户和密码。​

    开启群晖双重验证(密码+动态验证码)_身份验证_10

    使用测试账户登陆群晖系统,输入用户名和密码后,弹出下面窗口,开始配置普通用户的双重认证,不然无法登陆​

    开启群晖双重验证(密码+动态验证码)_身份验证_11

    开启群晖双重验证(密码+动态验证码)_移动端_12

    -----------------------------------
    ©著作权归作者所有:来自51CTO博客作者知行知行的原创作品,请联系作者获取转载授权,否则将追究法律责任
    开启群晖双重验证(密码+动态验证码)
    https://blog.51cto.com/Knowingdoing/5871612

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。