對于企業(yè)來說，身份驗證是安全體系中最為核心的部分，在企業(yè)中，由于部分員工安全意識薄弱，常常會存在弱密碼、多平臺共用密碼交叉泄露等風險，引發(fā)信息泄漏事件，為企業(yè)或組織帶來損失。據(jù)CYE《2023網(wǎng)絡(luò)安全成熟度報告》，身份管理是攻擊者在網(wǎng)絡(luò)攻擊中最常利用的方向，其中弱密碼以32%的占有率排名第一。弱密碼策略與弱身份驗證機制的組合讓黑客更容易入侵，攻擊者一旦破解賬號，極有可能造成敏感數(shù)據(jù)泄露。

根據(jù)Coremail數(shù)據(jù)監(jiān)測，企業(yè)郵箱平均每小時攔截暴力猜解、撞庫等請求行為 400萬起，平均每天收到垃圾郵件數(shù)量高達1500萬封，占企業(yè)用戶郵件總量的69.8%，企業(yè)郵箱用戶平均遭遇疑似盜號攻擊事件約10000件，而企業(yè)郵箱用戶使用弱密碼的比例也高達16%。

面對當下企業(yè)信息安全困境，除了監(jiān)督員工提升密碼強度，還能如何預(yù)防盜號問題，加強賬號身份管理呢？這也是Coremail在不斷思考和探索的問題。Coremail郵件系統(tǒng)在2016年就推出了二次驗證功能，有效保障企業(yè)用戶的賬號安全，大大減少賬號被盜取的可能。

二次驗證，是指需要用戶提供兩種不同的驗證因素來證明自己身份。與單因子驗證相比，屬于一種更高級別的驗證方式，更能有效保護用戶的賬號安全。Coremail通過調(diào)研用戶需求，經(jīng)過長期的不斷調(diào)優(yōu)，二次驗證2.0煥新上線！

在最新版本中，Coremail更關(guān)注用戶體驗，加入當下主流的驗證方式，為用戶創(chuàng)造更便捷的操作方式。

一、Coremail論客App綁定

●綁定步驟：

1）安裝Coremail論客App并登錄賬號；

2）在webmail或Coremail郵箱客戶端軟件 V4.0及以上版本的二次驗證綁定頁，用App掃描二維碼即可完成綁定。

●支持三種驗證方式

二、微信綁定

●綁定步驟：

1）打開個人微信的掃碼功能；

2）在webmail或Coremail 郵箱客戶端軟件 V4.0及以上版本的二次驗證綁定頁，用微信掃碼完成綁定。

●支持兩種驗證方式：

△登錄驗證時，用已綁定的微信掃碼即可完成驗證

△掃描或直接打開微信小程序“郵箱安全助手”查找對應(yīng)六位驗證碼后，在二次驗證碼欄里輸入即可。

三、備用郵箱綁定和驗證

●綁定步驟：

1）在webmail或Coremail郵箱客戶端軟件 V4.0及以上版本的二次驗證綁定頁，點擊綁定備用郵箱后，輸入要綁定的新郵箱；

2）登錄備用郵箱獲取驗證碼，填回到綁定界面，完成綁定。

●驗證方式：

△登錄驗證時，選擇“備用郵箱”作為驗證方式。登錄備用郵箱并獲取驗證碼后，返回驗證界面輸入即完成驗證。

四、第三方OTP綁定

●綁定步驟：

在webmail或Coremail郵箱客戶端軟件 V4.0及以上版本的二次驗證綁定頁，點擊綁定第三方OTP，綁定第三方OTP分兩種方式：

（1）使用第三方OTP直接掃碼，掃碼后在第三方OTP里查看六位驗證碼后，把六位驗證碼輸入“動態(tài)密碼“里，即完成綁定；

（2）先點擊查看驗證密鑰，打開第三方OTP，輸入驗證密鑰完成添加。

常見第三方OTP：Google Authenticator、Microsoft Authenticator、阿里云內(nèi)置虛擬MFA

●驗證方式：

△驗證方式選擇“第三方OTP”，打開已綁定的第三方OTP并獲取驗證碼后，返回驗證界面輸入即完成驗證。

Coremail二次驗證2.0除了增加選擇綁定方式，還更多的考慮到用戶實用場景，針對性作出解決方案，給用戶帶來更極致的指尖辦公體驗。

標準協(xié)議客戶端防護

用戶通過第三方標準協(xié)議的郵箱客戶端登錄Coremail郵箱，標準協(xié)議的公開性，使其非常容易受到密碼爆破攻擊。

解決方案

可通過設(shè)置客戶端專用密碼解決：

1.綁定二次驗證后，必須設(shè)置專用密碼才可以登錄第三方標準協(xié)議的客戶端；

2.用戶可手動生成高強度第三方客戶端密碼，密碼一次性生成后不再顯示，防止泄露；

3.支持管理員在系統(tǒng)級或組織級的密碼策略開啟強制使用專用密碼。

未登錄時掃碼授權(quán)

論客app授權(quán)因為不同平臺存在推送延遲或失敗。

解決方案

優(yōu)化了授權(quán)驗證的邏輯，增加掃一掃驗證入口，支持在論客app未登錄時，通過登錄頁的“掃一掃”進行授權(quán)驗證。
最低版本要求：IOS：4.0.6.1 Android: 4.0.6.1

二次驗證綁定/解綁/改綁

禁用webmail場景下綁定/解綁修改密碼

解決方案

客戶端新增支持綁定/解綁/改綁二次驗證，解決webmail禁用情況下的二次驗證相關(guān)功能
最低版本要求：Coremail 郵箱客戶端 V4.0

更換二次驗證綁定設(shè)備

新設(shè)備登錄時提醒是否更換主綁定設(shè)備

解決方案

在未登錄論客app的新手機里登錄賬號，會提示是否更換綁定設(shè)備。在舊手機里點擊確認更換，即可完成換綁設(shè)備。舊手機里的論客app會自動退出登錄。
最低版本要求：IOS：4.0.6.1 Android: 4.0.6.1

APP新增更換設(shè)備入口

用戶主動發(fā)起更換設(shè)備時

解決方案

論客app的安全中心新增更換驗證設(shè)備操作入口，在未綁定Coremail論客app的手機里，用戶可主動發(fā)起更換設(shè)備操作。

最低版本要求：Ios:v4.0.6.1 Android:v4.0.6.1

功能提示及幫助中心

用戶常見問題指引

解決方案

二次驗證設(shè)置頁用清晰的指引文案代替舊版本的功能logo。幫助中心新增二次驗證指引專題，解答用戶常見問題。

最低版本要求：XT6.0.6

15分鐘豁免時間

通過豁免時間規(guī)則減少重復(fù)驗證，提升用戶體驗。

解決方案

當用戶在綁定/解綁/修改綁定操作時進行過一次二次驗證后，系統(tǒng)默認會提供15分鐘豁免時間。

在15分鐘內(nèi)用戶多次綁定/解綁/修改綁定，都不需要先完成二次驗證。

注意：

豁免時間只在當前使用設(shè)備生效（webmail或Coremail 郵箱客戶端 V4.0）。

用戶退出重新登錄或在其他設(shè)備登錄，再次進入二次驗證設(shè)置頁面綁定/解綁/修改綁定時，豁免時間將失效。

強制綁定二次驗證

在管理員端進行策略細化，加強用戶管理和安全防范。

解決方案

管理員在“安全策略”或“登錄限制策略”中增加了最少的二次驗證綁定數(shù)量和強制開啟了二次驗證。

webmail、Coremail 郵箱客戶端 V4.0、Coremail論客app的會話過期或退出再登錄，會進入強制綁定流程。

用戶只有新增二次驗證綁定方式，達到管理員設(shè)置的至少綁定數(shù)量后，才可以正常進入郵箱。

找回/重置密碼前二次驗證

短信找回密碼雖然是業(yè)界通用方案，但存在SIM挾持攻擊、短信騷擾等問題。

解決方案

1. 通過短信/備用郵箱驗證通過后，在重置密碼前需進行二次驗證，避免單個驗證方式被盜導(dǎo)致賬號被惡意找回；

2. 支持短信、郵箱、論客App、微信小程序、外部OTP等5種驗證方式。