2FA 介绍

    2FA，双因子认证2FA（Two Factor Authentication）是一种安全认证过程，需要用户提供两种不同类型的认证因子来表明自己的身份，包括密码、指纹、短信验证码、智能卡、生物识别等多种因素组合，从而提高用户账户的安全性和可靠性，2FA 提供了比传统的单一身份验证方法更高的安全性，因为即使黑客获得了用户的密码，他们仍然需要第二个因素才能访问用户的账户。 目前常用的是 密码 + 动态密码 TOTP。

---

动态密码 TOTP是什么？

    动态密码 TOTP 是基于时间的一次性密码算法（Time-Based One-Time Password）的简写，它是一种基于时间的身份验证机制，用于增强账户的安全性。 TOTP 的工作原理基于一个共享的密钥和当前的时间信息。通常，用户在其设备上安装一个支持 TOTP 的应用程序，比如 谷歌 Authenticator 。在设置两步验证时，系统会生成一个密钥（通常是一个二维码）， 用户将其添加到身份验证应用程序中。每隔30秒，该应用程序会生成一个基于当前时间和共享密钥的动态密码。要求客户端（手机）和服务器能够十分精确的保持正确的时钟，客户端（手机）和服务端基于时间计算的动态口令才能一致。　

手机上常用的 TOTP APP（可以到各大应用市场下载）：

      谷歌 Authenticator

      微软 Microsoft Authenticator

      微信小程序 - 腾讯令牌（腾讯身份验证器）

      2FAS Auth

      Twilio Authy

---

Winmail 邮箱密码+TOTP 功能

二次认证只支持 Webmail 浏览器登录邮箱，不支持邮件客户端和手机APP，Winmail 7.2 起支持这个功能

1、系统后台启用

2、针对某个邮箱用户属性里设置，可以批量设置多个已存在用户这个属性；域名属性-默认密码策略里，可以针对以后新加邮箱用户设置这个属性。

这个邮箱用户登录 Webmail 时，输入正确邮箱密码后，出现提示框

点击“扫码绑定”出现二维码

使用手机上任意一个支持 TOTP 功能的 APP 扫描二维码

关闭二维码弹出框，正确输入 APP 里显示的对应项目的6位数字，就可以登录

以后这个用户登录 Webmail 都必须验证 TOTP，要使用同一 APP

---

几点说明：

1. TOTP 是基于时间计算动态口令，所以要求客户端（手机）和服务器的时间都要正确，就是标准时间。　

2. 关闭邮箱用户属性里的那个设置，再登录 Webmail 不会再验证 TOTP。

3. 不同用户可以使用不同的 APP 绑定。

4. 邮箱用户要解绑 APP 或者不小心删除了对应的项目，需要管理员在后台清除 ID，以便用户再次绑定。