對于企業(yè)來說,身份驗(yàn)證是安全體系中最為核心的部分,在企業(yè)中,由于部分員工安全意識(shí)薄弱,常常會(huì)存在弱密碼、多平臺(tái)共用密碼交叉泄露等風(fēng)險(xiǎn),引發(fā)信息泄漏事件,為企業(yè)或組織帶來損失。據(jù)CYE《2023網(wǎng)絡(luò)安全成熟度報(bào)告》,身份管理是攻擊者在網(wǎng)絡(luò)攻擊中最常利用的方向,其中弱密碼以32%的占有率排名第一。弱密碼策略與弱身份驗(yàn)證機(jī)制的組合讓黑客更容易入侵,攻擊者一旦破解賬號(hào),極有可能造成敏感數(shù)據(jù)泄露。
根據(jù)Coremail數(shù)據(jù)監(jiān)測,企業(yè)郵箱平均每小時(shí)攔截暴力猜解、撞庫等請求行為 400萬起,平均每天收到垃圾郵件數(shù)量高達(dá)1500萬封,占企業(yè)用戶郵件總量的69.8%,企業(yè)郵箱用戶平均遭遇疑似盜號(hào)攻擊事件約10000件,而企業(yè)郵箱用戶使用弱密碼的比例也高達(dá)16%。
面對當(dāng)下企業(yè)信息安全困境,除了監(jiān)督員工提升密碼強(qiáng)度,還能如何預(yù)防盜號(hào)問題,加強(qiáng)賬號(hào)身份管理呢?這也是Coremail在不斷思考和探索的問題。Coremail郵件系統(tǒng)在2016年就推出了二次驗(yàn)證功能,有效保障企業(yè)用戶的賬號(hào)安全,大大減少賬號(hào)被盜取的可能。
二次驗(yàn)證,是指需要用戶提供兩種不同的驗(yàn)證因素來證明自己身份。與單因子驗(yàn)證相比,屬于一種更高級別的驗(yàn)證方式,更能有效保護(hù)用戶的賬號(hào)安全。Coremail通過調(diào)研用戶需求,經(jīng)過長期的不斷調(diào)優(yōu),二次驗(yàn)證2.0煥新上線!
在最新版本中,Coremail更關(guān)注用戶體驗(yàn),加入當(dāng)下主流的驗(yàn)證方式,為用戶創(chuàng)造更便捷的操作方式。
一、Coremail論客App綁定
●綁定步驟:
1)安裝Coremail論客App并登錄賬號(hào);
2)在webmail或Coremail郵箱客戶端軟件 V4.0及以上版本的二次驗(yàn)證綁定頁,用App掃描二維碼即可完成綁定。
●支持三種驗(yàn)證方式
二、微信綁定
●綁定步驟:
1)打開個(gè)人微信的掃碼功能;
2)在webmail或Coremail 郵箱客戶端軟件 V4.0及以上版本的二次驗(yàn)證綁定頁,用微信掃碼完成綁定。
●支持兩種驗(yàn)證方式:
△登錄驗(yàn)證時(shí),用已綁定的微信掃碼即可完成驗(yàn)證
△掃描或直接打開微信小程序“郵箱安全助手”查找對應(yīng)六位驗(yàn)證碼后,在二次驗(yàn)證碼欄里輸入即可。
三、備用郵箱綁定和驗(yàn)證
●綁定步驟:
1)在webmail或Coremail郵箱客戶端軟件 V4.0及以上版本的二次驗(yàn)證綁定頁,點(diǎn)擊綁定備用郵箱后,輸入要綁定的新郵箱;
2)登錄備用郵箱獲取驗(yàn)證碼,填回到綁定界面,完成綁定。
●驗(yàn)證方式:
△登錄驗(yàn)證時(shí),選擇“備用郵箱”作為驗(yàn)證方式。登錄備用郵箱并獲取驗(yàn)證碼后,返回驗(yàn)證界面輸入即完成驗(yàn)證。
四、第三方OTP綁定
●綁定步驟:
在webmail或Coremail郵箱客戶端軟件 V4.0及以上版本的二次驗(yàn)證綁定頁,點(diǎn)擊綁定第三方OTP,綁定第三方OTP分兩種方式:
(1)使用第三方OTP直接掃碼,掃碼后在第三方OTP里查看六位驗(yàn)證碼后,把六位驗(yàn)證碼輸入“動(dòng)態(tài)密碼“里,即完成綁定;
(2)先點(diǎn)擊查看驗(yàn)證密鑰,打開第三方OTP,輸入驗(yàn)證密鑰完成添加。
常見第三方OTP:Google Authenticator、Microsoft Authenticator、阿里云內(nèi)置虛擬MFA
●驗(yàn)證方式:
△驗(yàn)證方式選擇“第三方OTP”,打開已綁定的第三方OTP并獲取驗(yàn)證碼后,返回驗(yàn)證界面輸入即完成驗(yàn)證。
Coremail二次驗(yàn)證2.0除了增加選擇綁定方式,還更多的考慮到用戶實(shí)用場景,針對性作出解決方案,給用戶帶來更極致的指尖辦公體驗(yàn)。
標(biāo)準(zhǔn)協(xié)議客戶端防護(hù)
用戶通過第三方標(biāo)準(zhǔn)協(xié)議的郵箱客戶端登錄Coremail郵箱,標(biāo)準(zhǔn)協(xié)議的公開性,使其非常容易受到密碼爆破攻擊。
解決方案
可通過設(shè)置客戶端專用密碼解決:
1.綁定二次驗(yàn)證后,必須設(shè)置專用密碼才可以登錄第三方標(biāo)準(zhǔn)協(xié)議的客戶端;
2.用戶可手動(dòng)生成高強(qiáng)度第三方客戶端密碼,密碼一次性生成后不再顯示,防止泄露;
3.支持管理員在系統(tǒng)級或組織級的密碼策略開啟強(qiáng)制使用專用密碼。
未登錄時(shí)掃碼授權(quán)
論客app授權(quán)因?yàn)椴煌脚_(tái)存在推送延遲或失敗。
解決方案
優(yōu)化了授權(quán)驗(yàn)證的邏輯,增加掃一掃驗(yàn)證入口,支持在論客app未登錄時(shí),通過登錄頁的“掃一掃”進(jìn)行授權(quán)驗(yàn)證。
最低版本要求:IOS:4.0.6.1 Android: 4.0.6.1
二次驗(yàn)證綁定/解綁/改綁
禁用webmail場景下綁定/解綁修改密碼
解決方案
客戶端新增支持綁定/解綁/改綁二次驗(yàn)證,解決webmail禁用情況下的二次驗(yàn)證相關(guān)功能
最低版本要求:Coremail 郵箱客戶端 V4.0
更換二次驗(yàn)證綁定設(shè)備
新設(shè)備登錄時(shí)提醒是否更換主綁定設(shè)備
解決方案
在未登錄論客app的新手機(jī)里登錄賬號(hào),會(huì)提示是否更換綁定設(shè)備。在舊手機(jī)里點(diǎn)擊確認(rèn)更換,即可完成換綁設(shè)備。舊手機(jī)里的論客app會(huì)自動(dòng)退出登錄。
最低版本要求:IOS:4.0.6.1 Android: 4.0.6.1
APP新增更換設(shè)備入口
用戶主動(dòng)發(fā)起更換設(shè)備時(shí)
解決方案
論客app的安全中心新增更換驗(yàn)證設(shè)備操作入口,在未綁定Coremail論客app的手機(jī)里,用戶可主動(dòng)發(fā)起更換設(shè)備操作。
最低版本要求:Ios:v4.0.6.1 Android:v4.0.6.1
功能提示及幫助中心
用戶常見問題指引
解決方案
二次驗(yàn)證設(shè)置頁用清晰的指引文案代替舊版本的功能logo。幫助中心新增二次驗(yàn)證指引專題,解答用戶常見問題。
最低版本要求:XT6.0.6
15分鐘豁免時(shí)間
通過豁免時(shí)間規(guī)則減少重復(fù)驗(yàn)證,提升用戶體驗(yàn)。
解決方案
當(dāng)用戶在綁定/解綁/修改綁定操作時(shí)進(jìn)行過一次二次驗(yàn)證后,系統(tǒng)默認(rèn)會(huì)提供15分鐘豁免時(shí)間。
在15分鐘內(nèi)用戶多次綁定/解綁/修改綁定,都不需要先完成二次驗(yàn)證。
注意:
豁免時(shí)間只在當(dāng)前使用設(shè)備生效(webmail或Coremail 郵箱客戶端 V4.0)。
用戶退出重新登錄或在其他設(shè)備登錄,再次進(jìn)入二次驗(yàn)證設(shè)置頁面綁定/解綁/修改綁定時(shí),豁免時(shí)間將失效。
強(qiáng)制綁定二次驗(yàn)證
在管理員端進(jìn)行策略細(xì)化,加強(qiáng)用戶管理和安全防范。
解決方案
管理員在“安全策略”或“登錄限制策略”中增加了最少的二次驗(yàn)證綁定數(shù)量和強(qiáng)制開啟了二次驗(yàn)證。
webmail、Coremail 郵箱客戶端 V4.0、Coremail論客app的會(huì)話過期或退出再登錄,會(huì)進(jìn)入強(qiáng)制綁定流程。
用戶只有新增二次驗(yàn)證綁定方式,達(dá)到管理員設(shè)置的至少綁定數(shù)量后,才可以正常進(jìn)入郵箱。
找回/重置密碼前二次驗(yàn)證
短信找回密碼雖然是業(yè)界通用方案,但存在SIM挾持攻擊、短信騷擾等問題。
解決方案
1. 通過短信/備用郵箱驗(yàn)證通過后,在重置密碼前需進(jìn)行二次驗(yàn)證,避免單個(gè)驗(yàn)證方式被盜導(dǎo)致賬號(hào)被惡意找回;
2. 支持短信、郵箱、論客App、微信小程序、外部OTP等5種驗(yàn)證方式。