26年匠心,專注成就好郵箱!
安全強(qiáng)化,體驗(yàn)升級!Coremail二次驗(yàn)證2.0煥新上線!
2023-06-09

對于企業(yè)來說,身份驗(yàn)證是安全體系中最為核心的部分,在企業(yè)中,由于部分員工安全意識(shí)薄弱,常常會(huì)存在弱密碼、多平臺(tái)共用密碼交叉泄露等風(fēng)險(xiǎn),引發(fā)信息泄漏事件,為企業(yè)或組織帶來損失。據(jù)CYE《2023網(wǎng)絡(luò)安全成熟度報(bào)告》,身份管理是攻擊者在網(wǎng)絡(luò)攻擊中最常利用的方向,其中弱密碼以32%的占有率排名第一。弱密碼策略與弱身份驗(yàn)證機(jī)制的組合讓黑客更容易入侵,攻擊者一旦破解賬號(hào),極有可能造成敏感數(shù)據(jù)泄露。




根據(jù)Coremail數(shù)據(jù)監(jiān)測,企業(yè)郵箱平均每小時(shí)攔截暴力猜解、撞庫等請求行為 400萬起,平均每天收到垃圾郵件數(shù)量高達(dá)1500萬封,占企業(yè)用戶郵件總量的69.8%,企業(yè)郵箱用戶平均遭遇疑似盜號(hào)攻擊事件約10000件,而企業(yè)郵箱用戶使用弱密碼的比例也高達(dá)16%。

面對當(dāng)下企業(yè)信息安全困境,除了監(jiān)督員工提升密碼強(qiáng)度,還能如何預(yù)防盜號(hào)問題,加強(qiáng)賬號(hào)身份管理呢?這也是Coremail在不斷思考和探索的問題。Coremail郵件系統(tǒng)在2016年就推出了二次驗(yàn)證功能,有效保障企業(yè)用戶的賬號(hào)安全,大大減少賬號(hào)被盜取的可能。

二次驗(yàn)證,是指需要用戶提供兩種不同的驗(yàn)證因素來證明自己身份。與單因子驗(yàn)證相比,屬于一種更高級別的驗(yàn)證方式,更能有效保護(hù)用戶的賬號(hào)安全。Coremail通過調(diào)研用戶需求,經(jīng)過長期的不斷調(diào)優(yōu),二次驗(yàn)證2.0煥新上線!

在最新版本中,Coremail更關(guān)注用戶體驗(yàn),加入當(dāng)下主流的驗(yàn)證方式,為用戶創(chuàng)造更便捷的操作方式。




一、Coremail論客App綁定


●綁定步驟:

1)安裝Coremail論客App并登錄賬號(hào);

2)在webmail或Coremail郵箱客戶端軟件 V4.0及以上版本的二次驗(yàn)證綁定頁,用App掃描二維碼即可完成綁定。




●支持三種驗(yàn)證方式





二、微信綁定


●綁定步驟:

1)打開個(gè)人微信的掃碼功能;

2)在webmail或Coremail 郵箱客戶端軟件 V4.0及以上版本的二次驗(yàn)證綁定頁,用微信掃碼完成綁定。





●支持兩種驗(yàn)證方式:


△登錄驗(yàn)證時(shí),用已綁定的微信掃碼即可完成驗(yàn)證




△掃描或直接打開微信小程序“郵箱安全助手”查找對應(yīng)六位驗(yàn)證碼后,在二次驗(yàn)證碼欄里輸入即可。



三、備用郵箱綁定和驗(yàn)證


●綁定步驟:

1)在webmail或Coremail郵箱客戶端軟件 V4.0及以上版本的二次驗(yàn)證綁定頁,點(diǎn)擊綁定備用郵箱后,輸入要綁定的新郵箱;

2)登錄備用郵箱獲取驗(yàn)證碼,填回到綁定界面,完成綁定。




●驗(yàn)證方式:




△登錄驗(yàn)證時(shí),選擇“備用郵箱”作為驗(yàn)證方式。登錄備用郵箱并獲取驗(yàn)證碼后,返回驗(yàn)證界面輸入即完成驗(yàn)證。




四、第三方OTP綁定


●綁定步驟:

在webmail或Coremail郵箱客戶端軟件 V4.0及以上版本的二次驗(yàn)證綁定頁,點(diǎn)擊綁定第三方OTP,綁定第三方OTP分兩種方式:

(1)使用第三方OTP直接掃碼,掃碼后在第三方OTP里查看六位驗(yàn)證碼后,把六位驗(yàn)證碼輸入“動(dòng)態(tài)密碼“里,即完成綁定;

(2)先點(diǎn)擊查看驗(yàn)證密鑰,打開第三方OTP,輸入驗(yàn)證密鑰完成添加。

常見第三方OTP:Google Authenticator、Microsoft Authenticator、阿里云內(nèi)置虛擬MFA




●驗(yàn)證方式:




△驗(yàn)證方式選擇“第三方OTP”,打開已綁定的第三方OTP并獲取驗(yàn)證碼后,返回驗(yàn)證界面輸入即完成驗(yàn)證。




Coremail二次驗(yàn)證2.0除了增加選擇綁定方式,還更多的考慮到用戶實(shí)用場景,針對性作出解決方案,給用戶帶來更極致的指尖辦公體驗(yàn)。


標(biāo)準(zhǔn)協(xié)議客戶端防護(hù)


用戶通過第三方標(biāo)準(zhǔn)協(xié)議的郵箱客戶端登錄Coremail郵箱,標(biāo)準(zhǔn)協(xié)議的公開性,使其非常容易受到密碼爆破攻擊。


解決方案


可通過設(shè)置客戶端專用密碼解決:

1.綁定二次驗(yàn)證后,必須設(shè)置專用密碼才可以登錄第三方標(biāo)準(zhǔn)協(xié)議的客戶端;

2.用戶可手動(dòng)生成高強(qiáng)度第三方客戶端密碼,密碼一次性生成后不再顯示,防止泄露;

3.支持管理員在系統(tǒng)級或組織級的密碼策略開啟強(qiáng)制使用專用密碼。


未登錄時(shí)掃碼授權(quán)


論客app授權(quán)因?yàn)椴煌脚_(tái)存在推送延遲或失敗。


解決方案


優(yōu)化了授權(quán)驗(yàn)證的邏輯,增加掃一掃驗(yàn)證入口,支持在論客app未登錄時(shí),通過登錄頁的“掃一掃”進(jìn)行授權(quán)驗(yàn)證。
最低版本要求:IOS:4.0.6.1 Android: 4.0.6.1


二次驗(yàn)證綁定/解綁/改綁


禁用webmail場景下綁定/解綁修改密碼


解決方案


客戶端新增支持綁定/解綁/改綁二次驗(yàn)證,解決webmail禁用情況下的二次驗(yàn)證相關(guān)功能
最低版本要求:Coremail 郵箱客戶端 V4.0


更換二次驗(yàn)證綁定設(shè)備


新設(shè)備登錄時(shí)提醒是否更換主綁定設(shè)備


解決方案


在未登錄論客app的新手機(jī)里登錄賬號(hào),會(huì)提示是否更換綁定設(shè)備。在舊手機(jī)里點(diǎn)擊確認(rèn)更換,即可完成換綁設(shè)備。舊手機(jī)里的論客app會(huì)自動(dòng)退出登錄。
最低版本要求:IOS:4.0.6.1 Android: 4.0.6.1


APP新增更換設(shè)備入口


用戶主動(dòng)發(fā)起更換設(shè)備時(shí)


解決方案


論客app的安全中心新增更換驗(yàn)證設(shè)備操作入口,在未綁定Coremail論客app的手機(jī)里,用戶可主動(dòng)發(fā)起更換設(shè)備操作。

最低版本要求:Ios:v4.0.6.1 Android:v4.0.6.1


功能提示及幫助中心


用戶常見問題指引


解決方案


二次驗(yàn)證設(shè)置頁用清晰的指引文案代替舊版本的功能logo。幫助中心新增二次驗(yàn)證指引專題,解答用戶常見問題。

最低版本要求:XT6.0.6


15分鐘豁免時(shí)間


通過豁免時(shí)間規(guī)則減少重復(fù)驗(yàn)證,提升用戶體驗(yàn)。


解決方案


當(dāng)用戶在綁定/解綁/修改綁定操作時(shí)進(jìn)行過一次二次驗(yàn)證后,系統(tǒng)默認(rèn)會(huì)提供15分鐘豁免時(shí)間。

在15分鐘內(nèi)用戶多次綁定/解綁/修改綁定,都不需要先完成二次驗(yàn)證。

注意:

豁免時(shí)間只在當(dāng)前使用設(shè)備生效(webmail或Coremail 郵箱客戶端 V4.0)。

用戶退出重新登錄或在其他設(shè)備登錄,再次進(jìn)入二次驗(yàn)證設(shè)置頁面綁定/解綁/修改綁定時(shí),豁免時(shí)間將失效。



強(qiáng)制綁定二次驗(yàn)證


在管理員端進(jìn)行策略細(xì)化,加強(qiáng)用戶管理和安全防范。



解決方案


管理員在“安全策略”或“登錄限制策略”中增加了最少的二次驗(yàn)證綁定數(shù)量和強(qiáng)制開啟了二次驗(yàn)證。

webmail、Coremail 郵箱客戶端 V4.0、Coremail論客app的會(huì)話過期或退出再登錄,會(huì)進(jìn)入強(qiáng)制綁定流程。

用戶只有新增二次驗(yàn)證綁定方式,達(dá)到管理員設(shè)置的至少綁定數(shù)量后,才可以正常進(jìn)入郵箱。



找回/重置密碼前二次驗(yàn)證


短信找回密碼雖然是業(yè)界通用方案,但存在SIM挾持攻擊、短信騷擾等問題。


解決方案


1. 通過短信/備用郵箱驗(yàn)證通過后,在重置密碼前需進(jìn)行二次驗(yàn)證,避免單個(gè)驗(yàn)證方式被盜導(dǎo)致賬號(hào)被惡意找回;

2. 支持短信、郵箱、論客App、微信小程序、外部OTP等5種驗(yàn)證方式。

×