介绍
双因素身份验证(通常缩写为2FA)为您的DigitalOcean Cloud帐户增加了额外的安全层。 当您第一次创建您的帐户时,您提供一个电子邮件地址,选择一个密码,并使用这些登录到控制面板。 当您添加第二个因素(例如必须从智能手机检索到的代码)时,仅仅有人知道这些凭据是不够的。 他们还必须有智能手机。 这大大降低了有人能够访问您的帐户的机会。
DigitalOcean双因素认证一览
费用:免费
支持的方法:身份验证器应用程序,短信,备份代码
状态:默认情况下禁用
启用和禁用: 用户配置文件>设置>安全
限制:
默认授权
当您第一次创建您的帐户时,双因素授权被禁用。 不过,DigitalOcean正在采取措施保护帐户。 每当您从新位置登录,使用新设备或使用其他网络浏览器登录时,授权码都会发送到您帐户的电子邮件地址,您需要检查您的电子邮件,检索代码并输入完成您的登录。 这意味着不良演员需要您的DigitalOcean密码和您的电子邮件密码才能访问您的帐户。 这不像双因素授权那样有效,但是会增加潜在攻击者的难度,并且在有人尝试访问您的账户时向您发送通知。
启用双因素身份验证
要为您的DigitalOcean帐户启用双因素身份验证设置,您可以单击任何控制面板提示或导航到安全选项卡,如下所述:
- 登录到控制面板
- 打开用户菜单
- 在左侧导航栏中选择安全
稍后,返回“安全性”页面更改您的选择。 生成新的备份代码,或禁用双因素认证。
注意:如果您使用的是团队,请务必切换到与您的个人帐户关联的“安全”选项卡。 不是团队。
选择第二个因素
当您单击“ 启用双因素验证”按钮时,系统会要求您使用验证器应用程序或SMS进行选择。
使用应用程序(首选)
Google身份验证器 , Authy或Duo等身份验证器应用程序是您安装在智能手机或平板电脑上的小型免费应用程序,用于生成额外的代码。 他们在全球工作,比SMS更安全,因为他们不通过网络传输代码。
当您选择这种方法时,您将获得一个QR码,以便在手机应用程序中进行扫描。 这会将您的设备链接到您的帐户。
如果您无法扫描应用程序内的代码,请点击“ 尝试此代码”链接,该链接会提供一个代码。 您将按照您在手机上安装的特定应用的说明使用该代码。 当您将代码提供给应用程序时,它会为您提供一个PIN码,以便在提供的空间中输入。 输入PIN码后,该应用程序将与您的DigitalOcean帐户关联。
现在,应用程序和您的帐户已链接在一起,当您将来登录时,系统会提示您输入来自您的应用程序的双因素认证代码。 您需要在智能手机上打开应用程序以显示代码,然后在控制面板中出现提示时输入代码以完成登录。
使用SMS
如果您选择短信,您的移动运营商必须能够发送短信,这意味着您需要移动信号或互联网连接。 在国际旅行中这可能是不方便的。 另外,由于短信很容易被黑客拦截,所以它们不如应用安全。 但是,使用SMS进行双因素身份验证仍然会为您的帐户提供更强大的安全性,而不是根本无法启用。
当你选择短信,你会被提示输入电话号码。
注意:您不能使用Google语音或Ooma等服务的VoIP或电话号码。
一旦你输入密码,DigitalOcean将通过短信发送一个密码。 收到邮件后,您将输入代码,将您的手机和您的帐户关联起来。 将来,您将通过短信收到代码,进入控制面板完成您的登录。
选择备份方法
完成双因素验证的主方法配置后,系统会提示您添加备份方法。 备份代码是默认选择和推荐方法。
备份代码(首选)
备份代码可确保如果您的双因素认证设备丢失或被盗,您仍然可以访问您的帐户。 代码的作用就像第二个密码,应该存储在一个安全的地方,您可以在没有您的手机的情况下访问。 它们在屏幕上可见,也可以下载.txt文件:
一旦使用了备份代码,它就不再有效,所以删除它或在记录中将其交叉出来可能会有所帮助。 如果您开始在备份代码上运行较低,则可以生成更多。 请注意,如果这样做,以前的任何剩余代码将不再有效。
禁用双因素身份验证
要禁用双因素认证或更改您的配置,您可以:
使用双因素身份验证设备登录到您的Cloud帐户
使用备份代码登录
您已经登录的用户,打开用户配置文件菜单,并点击左侧导航栏中安全页面的链接。
如果您失去了使用双因素身份验证设备的权限,并且没有备份方法,则需要向DigitalOcean支持团队提交一张票据 ,他们可以帮助您恢复访问权限。
下一步
如果你还没有,我们鼓励你今天启用双因素认证 。
您可能也有兴趣了解如何使用DigitalOcean社区教程如何在Ubuntu 16.04上为SSH设置多因素身份验证,从而为您的基础架构本身使用双因素授权。