对于企业来说,身份验证是安全体系中最为核心的部分,在企业中,由于部分员工安全意识薄弱,常?;岽嬖谌趺苈?、多平台共用密码交叉泄露等风险,引发信息泄漏事件,为企业或组织带来损失。据CYE《2023网络安全成熟度报告》,身份管理是攻击者在网络攻击中最常利用的方向,其中弱密码以32%的占有率排名第一。弱密码策略与弱身份验证机制的组合让黑客更容易入侵,攻击者一旦破解账号,极有可能造成敏感数据泄露。
根据Coremail数据监测,企业邮箱平均每小时拦截暴力猜解、撞库等请求行为 400万起,平均每天收到垃圾邮件数量高达1500万封,占企业用户邮件总量的69.8%,企业邮箱用户平均遭遇疑似盗号攻击事件约10000件,而企业邮箱用户使用弱密码的比例也高达16%。
面对当下企业信息安全困境,除了监督员工提升密码强度,还能如何预防盗号问题,加强账号身份管理呢?这也是Coremail在不断思考和探索的问题。Coremail邮件系统在2016年就推出了二次验证功能,有效保障企业用户的账号安全,大大减少账号被盗取的可能。
二次验证,是指需要用户提供两种不同的验证因素来证明自己身份。与单因子验证相比,属于一种更高级别的验证方式,更能有效?;び没У恼撕虐踩?。Coremail通过调研用户需求,经过长期的不断调优,二次验证2.0焕新上线!
在最新版本中,Coremail更关注用户体验,加入当下主流的验证方式,为用户创造更便捷的操作方式。
一、Coremail论客App绑定
●绑定步骤:
1)安装Coremail论客App并登录账号;
2)在webmail或Coremail邮箱客户端软件 V4.0及以上版本的二次验证绑定页,用App扫描二维码即可完成绑定。
●支持三种验证方式
二、微信绑定
●绑定步骤:
1)打开个人微信的扫码功能;
2)在webmail或Coremail 邮箱客户端软件 V4.0及以上版本的二次验证绑定页,用微信扫码完成绑定。
●支持两种验证方式:
△登录验证时,用已绑定的微信扫码即可完成验证
△扫描或直接打开微信小程序“邮箱安全助手”查找对应六位验证码后,在二次验证码栏里输入即可。
三、备用邮箱绑定和验证
●绑定步骤:
1)在webmail或Coremail邮箱客户端软件 V4.0及以上版本的二次验证绑定页,点击绑定备用邮箱后,输入要绑定的新邮箱;
2)登录备用邮箱获取验证码,填回到绑定界面,完成绑定。
●验证方式:
△登录验证时,选择“备用邮箱”作为验证方式。登录备用邮箱并获取验证码后,返回验证界面输入即完成验证。
四、第三方OTP绑定
●绑定步骤:
在webmail或Coremail邮箱客户端软件 V4.0及以上版本的二次验证绑定页,点击绑定第三方OTP,绑定第三方OTP分两种方式:
(1)使用第三方OTP直接扫码,扫码后在第三方OTP里查看六位验证码后,把六位验证码输入“动态密码“里,即完成绑定;
(2)先点击查看验证密钥,打开第三方OTP,输入验证密钥完成添加。
常见第三方OTP:Google Authenticator、Microsoft Authenticator、阿里云内置虚拟MFA
●验证方式:
△验证方式选择“第三方OTP”,打开已绑定的第三方OTP并获取验证码后,返回验证界面输入即完成验证。
Coremail二次验证2.0除了增加选择绑定方式,还更多的考虑到用户实用场景,针对性作出解决方案,给用户带来更极致的指尖办公体验。
标准协议客户端防护
用户通过第三方标准协议的邮箱客户端登录Coremail邮箱,标准协议的公开性,使其非常容易受到密码爆破攻击。
解决方案
可通过设置客户端专用密码解决:
1.绑定二次验证后,必须设置专用密码才可以登录第三方标准协议的客户端;
2.用户可手动生成高强度第三方客户端密码,密码一次性生成后不再显示,防止泄露;
3.支持管理员在系统级或组织级的密码策略开启强制使用专用密码。
未登录时扫码授权
论客app授权因为不同平台存在推送延迟或失败。
解决方案
优化了授权验证的逻辑,增加扫一扫验证入口,支持在论客app未登录时,通过登录页的“扫一扫”进行授权验证。
最低版本要求:IOS:4.0.6.1 Android: 4.0.6.1
二次验证绑定/解绑/改绑
禁用webmail场景下绑定/解绑修改密码
解决方案
客户端新增支持绑定/解绑/改绑二次验证,解决webmail禁用情况下的二次验证相关功能
最低版本要求:Coremail 邮箱客户端 V4.0
更换二次验证绑定设备
新设备登录时提醒是否更换主绑定设备
解决方案
在未登录论客app的新手机里登录账号,会提示是否更换绑定设备。在旧手机里点击确认更换,即可完成换绑设备。旧手机里的论客app会自动退出登录。
最低版本要求:IOS:4.0.6.1 Android: 4.0.6.1
APP新增更换设备入口
用户主动发起更换设备时
解决方案
论客app的安全中心新增更换验证设备操作入口,在未绑定Coremail论客app的手机里,用户可主动发起更换设备操作。
最低版本要求:Ios:v4.0.6.1 Android:v4.0.6.1
功能提示及帮助中心
用户常见问题指引
解决方案
二次验证设置页用清晰的指引文案代替旧版本的功能logo。帮助中心新增二次验证指引专题,解答用户常见问题。
最低版本要求:XT6.0.6
15分钟豁免时间
通过豁免时间规则减少重复验证,提升用户体验。
解决方案
当用户在绑定/解绑/修改绑定操作时进行过一次二次验证后,系统默认会提供15分钟豁免时间。
在15分钟内用户多次绑定/解绑/修改绑定,都不需要先完成二次验证。
注意:
豁免时间只在当前使用设备生效(webmail或Coremail 邮箱客户端 V4.0)。
用户退出重新登录或在其他设备登录,再次进入二次验证设置页面绑定/解绑/修改绑定时,豁免时间将失效。
强制绑定二次验证
在管理员端进行策略细化,加强用户管理和安全防范。
解决方案
管理员在“安全策略”或“登录限制策略”中增加了最少的二次验证绑定数量和强制开启了二次验证。
webmail、Coremail 邮箱客户端 V4.0、Coremail论客app的会话过期或退出再登录,会进入强制绑定流程。
用户只有新增二次验证绑定方式,达到管理员设置的至少绑定数量后,才可以正常进入邮箱。
找回/重置密码前二次验证
短信找回密码虽然是业界通用方案,但存在SIM挟持攻击、短信骚扰等问题。
解决方案
1. 通过短信/备用邮箱验证通过后,在重置密码前需进行二次验证,避免单个验证方式被盗导致账号被恶意找回;
2. 支持短信、邮箱、论客App、微信小程序、外部OTP等5种验证方式。