双因素认证(2FA)为登录增加一层安全验证。启用2FA后,用户除输入密码外还需完成额外身份验证。
即使凭证泄露,也能显著降低未授权访问风险。
ThingsBoard支持多种2FA验证方式,可由管理员启用和配置,并按tenant选择性启用。
双因素认证方式
- 电子邮箱:登录时,一次性验证码将发送至用户的电子邮箱。要使用基于电子邮箱的2FA,系统管理员应配置一台外发邮件服务器。
- 短信:登录时,一次性验证码将通过SMS发送至用户的手机号码。要使用基于短信的2FA,系统管理员应配置一个短信提供商。
- 认证器应用 (TOTP):基于时间的一次性密码 (TOTP)由外部认证器应用程序生成。用户可以使用流行的应用,如 Google Authenticator、Authy 或 Duo。
- 备份码:备份码是由用户生成且安全存储的一次性码(可下载或打印)。备份码只能与至少一个其他已启用的2FA方法配合使用,不能作为独立的认证方式配置。
配置双因素认证
租户管理员 可以使用系统管理员的2FA配置,也可以为自己和用户定义自定义2FA配置。
配置2FA:
- 以 租户管理员 身份登录ThingsBoard。
- 导航至\u201cSecurity\u201d→\u201cTwo-factor authentication\u201d。
- 取消选中”Use system two factor auth settings”以配置租户特定的设置。
- 启用一个或多个验证方法:
- 认证器应用
- 短信
- 电子邮箱
- 备份码
- 配置提供商特定的选项,例如:
- 验证限制
- 验证码检查速率限制
- 点击”Save”保存配置。
说明: 最终用户可用的2FA方式取决于本页配置。
- 导航至Security ⇾ Two-factor authentication (1)。
- 取消选中"Use system two factor auth settings"标签的框(2)。
- 保存更改(4)以应用配置。
为用户账号启用2FA
用户可使用管理员配置的一种或多种方式为自身账号启用2FA。
以用户身份启用2FA:
- 登录ThingsBoard。
- 点击右上角用户菜单(三个点)并选择\u201cAccount\u201d。
- 进入\u201cSecurity\u201d选项卡。
- 启用一种或多种可用2FA方式并完成设置步骤。
打开右上角的用户菜单(三个点)(1),选择"Account"(2)。
重要提示! 可用的2FA选项列表取决于“双因素认证”页面上的设置。
Authenticator app(认证应用)
启用认证应用验证:
- 打开\u201cAccount\u201d→\u201cSecurity\u201d。
- 启用Authenticator app认证。
- 在手机打开认证应用。
- 扫描显示的二维码。
- 输入应用生成的6位验证码。
- 点击\u201cDone\u201d。
使用认证应用登录:
- 输入用户名和密码。
- 输入认证应用生成的6位验证码。
SMS验证
启用SMS验证:
- 打开\u201cAccount\u201d→\u201cSecurity\u201d。
- 启用SMS认证。
- 输入手机号。
- 输入通过SMS收到的6位验证码。
- 点击\u201cDone\u201d。
使用SMS登录
登录时:
- 输入用户名和密码。
- 输入通过SMS收到的验证码。
邮箱验证
启用邮箱验证:
- 打开\u201cAccount\u201d→\u201cSecurity\u201d。
- 启用Email认证。
- 输入通过邮箱收到的6位验证码。
- 点击\u201cDone\u201d,然后\u201cSave\u201d。
使用邮箱登录:
- 输入用户名和密码。
- 输入通过邮箱收到的验证码。
Backup codes(备份码)
当其他2FA方式不可用时(例如手机丢失),备份码可作为替代认证方式。
注意: 此方式仅能与至少一种其他已启用的2FA方式配合使用,不能单独作为认证方式。
生成备份码:
- 打开\u201cAccount\u201d→\u201cSecurity\u201d。
- 启用backup codes认证。
- 下载或打印生成的备份码并安全保存。
- 点击\u201cDone\u201d。
每个备份码仅能使用一次。
使用备份码登录:
- 输入用户名和密码开始登录。
- 点击\u201cTry another way\u201d。
- 选择\u201cBackup code\u201d。
- 输入列表中未使用的备份码。
- 点击\u201cContinue\u201d。
