如何在管理員登入時使用Google Authenticator兩階段認證?

Zyxel小編 Nilo
Zyxel小編 Nilo 文章數: 31  Zyxel Employee
已編輯 十一月 2022 防火牆 常見問題

在之前的韌體版本中,USG 支援透過簡訊/電子郵件的 PIN 碼作為兩階段認證方法。但是,基於 SMS 的兩階段認證並不安全。與基於 SMS 的方法相比,Google Authenticator是接收兩階段認證碼的最安全方法。Google Authenticator每 30 秒提供一個新代碼,因此每個代碼在 30 秒內過期,這使其成為生成用於兩階段認證代碼的安全選項。此外,Google Authenticator是免費下載的,易於使用,並且可以在沒有網路的情況下工作。此範例說明如何為管理員登入設定使用Google Authenticator兩階段認證。



Google Authenticator兩階段認證的流程

1. 對特定管理員用戶啟用Google Authenticator

2. 設定Google Authenticator

3. 設定有效時間和登入服務類型。

對特定管理員用戶啟用Google Authenticator

選擇特定的管理員用戶並切換到兩階段認證選項。

CONFIGURATION > Object > User/Group > admin user 


勾選管理員登入啟用兩階段認證的框。在兩階段認證中,選擇“Google Authenticator”。點擊“Set up Google Authenticator”開始在手機和USG上設置Google Authenticator。


設定Google Authenticator


1. 在您的手機上下載並安裝 Google Authenticator。


2. 將管理員帳戶註冊到 Google Authenticator。打開 Google Authenticator App 並掃描 Web GUI 上的QR code。




3. 將Google Authenticator上顯示的token碼輸入“Step 3”,點擊“Verify code and finish”提交驗證碼。


彈出視窗訊息通知驗證結果。



4. 2FA註冊設定成功後,web GUI上有備份碼。備用碼用於設備登入,以防您無法使用手機上的應用程式。下載備份碼並將其記錄在安全的地方。


設定有效時間和登入服務類型

為管理員登入啟用兩階段認證。為管理員用戶設定有效時間並選擇哪些服務需要兩階段認證。有效時間是admin需要提交兩階段認證碼才能獲得登入權限的截止時間。如果提交代碼晚於有效時間,登入請求將被拒絕。默認情況下,有效時間為 3 分鐘。

CONFIGURATION > Object > Auth. Method > Two-factor Authentication > Admin Access 


測試結果 

1. 使用管理員帳戶“testadmin”登入。


2. 彈出視窗供管理員輸入驗證碼。


3. 輸入 Google Authenticator 上顯示的代碼,然後點擊“Verify”。如果您手邊沒有手機,也可以輸入備用代碼。


4. 使用用戶名、密碼和驗證代碼授權成功。

MONITOR > Log > View Log > Category and select "Authentication Server" 


會出什麼問題?

1. 一個 admin 用戶只能在一個 Google Authenticator 上註冊。如果您想使用另一台手機對同一管理員用戶進行身份認證,請點擊“Revoke”以撤銷註冊用戶並使用另一台手機重新設定Google Authenticator。


2. 每個admin用戶有5個備份碼,每個備份碼只能用於登入一次。