这是一个创建于 682 天前的主题,其中的信息可能已经有所发展或是发生改变。
先说一下场景:由于自己不慎,手机掉坑里,碎屏了,没法进行屏幕操作。然后,需要解绑阿里云的 MFA 。这时,新的阿里云 APP 没有 MFA ,登录不了。
只有网页上申请解绑,(幸亏前 2 天操作过网页版,设置允许 7 天内无需 MFA 验证),也是需要 MFA 。 但是,我没有。只能走人工申诉。
填资料,还要在阿里云 APP 上照脸,进行人脸比对。。。都人脸比对通过了才能继续网页的人工解绑申诉; 这个白痴设计,都人脸比对是本人,还要什么 MFA ?
最神奇的是,这个人工申诉解绑的应该不是用于 MFA 的表单。里面有退款帐号,金额。估计是另外用途的。
还得上传资料,签字的免责。。。。等 3 天。
早知道如此,我就一直用短信验证好了。 SIM 卡坏了,到运营商营业厅换也不过个把小时的事情。
(我试过国外一家。可以 email 验证解绑 MFA 。)
 |
1
eason1874 2022-06-07 22:21:43 +08:00
才知道这么麻烦
还好阿里云 MFA 是通用的,设置的时候可以把二维码图片(或者扫描出文本)备份起来,下次换设备直接扫就好了 |
 |
2
joynvda OP 昨天申请的工单回复了。
“解绑账号 mfa 吗?查看您的账号为企业实名认证,需提供: 1 、最新的工商营业执照副本原件的照片(请一定拍照上传,扫描件不支持受理); 2 、《变更账号安全信息申请函》见附件,经办人签字按手印,加盖单位盖章;(请一定拍照上传,扫描件不支持受理) ” ~~~ 以后还是短信验证好了。 |
 |
3
hyshuang2006 2022-06-07 22:53:48 +08:00
体验过啦!烦到想砸电脑。
|
 |
4
V1Eerie 2022-06-08 00:24:32 +08:00 via Android
不要用阿里云 app 去绑定,换谷歌或者微软的双因素验证 app 体验更佳,还能网络云备份。
|
 |
5
vhus 2022-06-08 06:45:47 +08:00
如果是企业账号千万别吧手机号弄丢了。
别问我怎么知道的,搞了个几乎闭环的流程,提交一堆资料。 |
 |
6
i3x 2022-06-08 08:26:38 +08:00 via Android
与之相反的是形同虚设的 ip 限制。。。。。。。。。偶尔可以大部分时间我发现还是随便登陆。。只被卡过一两次。。。
|
 |
7
liuzhaowei55 2022-06-08 09:10:54 +08:00 via iPhone
因为这种操作就是卡流程,他并不能真实校验什么,赌的就是信息获取难度。
|
 |
8
Eiden 2022-06-08 09:17:14 +08:00
触屏失效可以 otg 接鼠标操作
|
 |
9
mytsing520 2022-06-08 09:46:59 +08:00
所以我是在 Authy 上绑定的阿里云的 MFA ,只要 Authy 不倒闭就可以用。至于阿里云 APP 上要做 MFA 校验,那就直接打开 Authy 取那边的值就行,虽然麻烦点
|
|
10
mytsing520 2022-06-08 09:47:36 +08:00
像 STEAM 这种强关联 MFA APP 的才难搞
|
 |
11
nothingistrue 2022-06-08 09:56:06 +08:00
实际上,不要轻易尝试任何没有备用解锁手段的 2FA 。开 2FA 的时候,给你的备用解锁手段,或者二维码,或者二维码代表的 Code 信息,一定要保存好,丢失了你就只能哭。如果上面的东西都丢失了,服务商还能让你轻易解锁账号,那这服务商肯定不靠谱。不开 2FA ,或者用短信验证做 2FA ,本质上是用安全性换易用性,重要账号不能这么干。
目前最有效的 2FA 工具,是标准 TOTP 工具,例如 Keepass + Tray TOTP 插件,用这些工具再加上适当的备份措施,能让你安心的用任何标准 TOTP 方式的 2FA 验证。很有效并且还很方便的 2FA 工具,那就只有微软 Authenticator 、谷歌身份验证器,不考虑平台通用的话还可以加上苹果钥匙串。这三个大厂有很多备用方式能够定位到“你就是你”,当客户端丢失之后会让用户在找回来。小厂通常没办法定位“你就是你”,客户端丢了就丢了很难找回来(或者能随便找回来这样就没安全性了)。而像阿里这样的国内大厂,投广告防爬虫的时候,能有海量的数据定位到“你就是你”,儿童误消费退款、账号解锁的时候,或者任何处理仅对用户有利的情况的时候,哪些数据就集体失效了。 |
|
12
nothingistrue 2022-06-08 09:58:08 +08:00
@mytsing520 #10 STEAM 真不要开客户端 2FA ,那玩意的主要目的不是 2FA ,是防止账号共享,老老实实用邮件 2FA 最靠谱。
|
 |
13
Seanfuck 2022-06-08 10:00:07 +08:00
可是 RAM 用户登录必须启用 MFA 或 U2F ,很操蛋
|
 |
14
goodryb 2022-06-08 10:42:15 +08:00
解绑 MFA 这种重量级操作进行流程严格也没什么问题吧,如果很简单被别人利用了,那安全性不是更差
|
 |
15
dingwen07 2022-06-08 10:46:01 +08:00
@mytsing520 #10
Steam 可以用抓包导出,部分第三方生成器支持 Steam 的代码,比如 Yubico Authenticator @nothingistrue #11 目前来讲最有效的 2FA 是 WebAuthn |
 |
16
zhzy0077 2022-06-08 10:53:01 +08:00
bitwarden 也支持 Steam TOTP
|
 |
17
g531956119 2022-06-08 12:23:28 +08:00 via Android
Keepass 的 TOTP 插件也支持 Steam ,基本用就能 Keepass+微软 Authenticator 保证便捷性和安全性
|
 |
18
qbqbqbqb 2022-06-08 13:15:08 +08:00
@nothingistrue 微软 Authenticator 不完全是标准 TOTP 工具,还提供了微软一键认证(无密码登录)的功能,TOTP 只是顺带附带的。谷歌身份验证器现在也不太推荐使用了,主要是备份比较麻烦,而且谷歌自己现在也不主推这个 2FA 软件(谷歌账号现在需要先绑定其它 2FA 才能加绑 TOTP 为可选 2FA 登录选项)。
手机端标准 TOTP 2FA 更推荐一些开源软件,例如 Android 平台的 AndOTP 或者 Aegis Authenticator ,这些都标配导出加密备份的功能。 |
|
19
qbqbqbqb 2022-06-08 13:19:11 +08:00
@dingwen07 也不必抓包,桌面端的 WinAuth 就有完整的代替 Steam 手机令牌的功能(可以直接在电脑上假装手机绑定 Steam 令牌,现在还支持交易确认),然后通过它导出 secret ,添加到手机端的第三方生成器里就可以了。
|
 |
20
ye4241 2022-06-08 13:38:02 +08:00
华为云的也是这么麻烦的,一堆资料提交上去了,终于解绑了。。。
|
 |
21
Buges 2022-06-08 13:50:43 +08:00 via Android
其实我感觉,TOTP 2FA 最重要的作用是绕过其他 2FA 。很多网站会强制 2FA ,没有 TOTP 就得邮件、短信。对于用密码管理器的生成全随机密码同时也用密码管理器管理 TOTP 的用户而言,安全性由密码管理器本身保证,TOTP 本身没有增加任何的安全性。
|
 |
22
kkk123 2022-06-08 17:35:48 +08:00
感谢提醒,立马改回短信了
|
 |
23
iphoneXr 2022-06-08 17:45:31 +08:00
归结到底 所有的 MFA 二次验证都有这个问题,所以
1 、凡是涉及到 mfa 的时候都要记录下 紧急恢复代码 ,用一次就废了的那种。 2 、推荐上 bitwarden 这些密码管理软件,把 mfa 也放到云端。 |
|
24
joynvda OP 本人阿里云 APP 还挂了英伟达开发者的 MFA 。
估计没有涉及金钱,简单邮件验证就可以登录。然后,关闭 MFA 。 得到的教训是:先把流程完整走一次 - 除了激活,还有替换;如果能够接受的,就没问题。 |
Select Language