开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Mailinabox为管理面板登录添加TOTP双因素身份验证

基础概念

TOTP（Time-based One-Time Password） 是一种基于时间的一次性密码算法。它通过在服务器端生成一个基于当前时间的密码，客户端（通常是用户的手机应用）也生成一个相同的密码，用户输入这个密码进行身份验证。由于密码每30秒（或其他设定的时间间隔）就会改变一次，因此即使密码被截获，攻击者也无法在短时间内重复使用。

Mailinabox 是一个开源的邮件服务器解决方案，提供了一个简单易用的管理面板来管理邮件服务器。

相关优势

增强安全性：TOTP双因素身份验证提供了比单一密码更高的安全性，因为攻击者需要同时获取用户的密码和动态生成的OTP。
防止重放攻击：由于OTP每30秒就会改变一次，攻击者无法使用之前截获的OTP进行登录。
用户友好：大多数用户已经习惯使用手机应用（如Google Authenticator）来生成OTP。

类型

基于时间：如TOTP，密码每30秒生成一次。
基于事件：每次点击按钮或输入密码时生成一个新的OTP。
基于挑战-响应：服务器发送一个随机数，客户端使用这个随机数生成OTP。

应用场景

邮件服务器管理：如Mailinabox，保护管理面板的安全。
在线银行：防止未经授权的访问。
企业内部系统：保护敏感数据和系统。

如何添加TOTP双因素身份验证到Mailinabox管理面板

安装依赖：确保你的Mailinabox服务器上已经安装了pyotp库。如果没有安装，可以使用以下命令进行安装：
安装依赖：确保你的Mailinabox服务器上已经安装了pyotp库。如果没有安装，可以使用以下命令进行安装：
配置TOTP：编辑Mailinabox的配置文件（通常是/etc/mailinabox.conf），添加以下配置：
配置TOTP：编辑Mailinabox的配置文件（通常是/etc/mailinabox.conf），添加以下配置：
生成密钥：使用以下Python脚本生成一个密钥，并将其保存到配置文件中：
生成密钥：使用以下Python脚本生成一个密钥，并将其保存到配置文件中：
更新管理面板：重新启动Mailinabox服务以应用更改：
更新管理面板：重新启动Mailinabox服务以应用更改：
用户配置：用户需要在他们的设备上安装一个OTP生成应用（如Google Authenticator），并扫描Mailinabox提供的QR码来添加账户。

可能遇到的问题及解决方法

无法生成密钥：
- 确保pyotp库已正确安装。
- 检查配置文件权限，确保有写权限。

无法扫描QR码：
- 确保用户的设备上有可用的二维码扫描应用。
- 检查网络连接，确保能够访问生成QR码的页面。
登录失败：
- 确保用户输入的OTP是正确的，并且没有过期。
- 检查服务器时间是否同步，时间不同步可能导致OTP验证失败。

参考链接

通过以上步骤，你可以成功地为Mailinabox管理面板添加TOTP双因素身份验证，从而提高系统的安全性。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

密码管理和2FA管理软件

现在网络上各种网站服务非常多，每个人至少都有注册过几十上百个网站，账号密码的管理显得尤为重要，很多人为了便于记忆，多种账号采用相同的密码，这种做法非常不安全，因为一旦有一个平台的密码泄露，就很容易被撞库攻击。

00

如何在CentOS上使用双重身份验证

在本教程中，您将学习如何在CentOS 7上使用一次性密码进行SSH上的双重身份验证。

03

如何在Ubuntu 14.04上为SSH设置多重身份验证

一个认证因素是单件的使用信息，以证明你有权要执行的操作，如登录到系统中。的认证信道是认证系统提供了一个因子给用户或要求用户回答的方式。密码和安全令牌是身份验证因素的示例; 电脑和手机就是频道的例子。

00

多因子类身份认证

密码作为我们平时最常使用的用户身份验证方式有其便捷性，但是仔细思考你也不难发现其中存在着较多的安全问题。首先我们的密码是由用户自我定义设置的，期间不排除用户设置弱口令密码或者使用键盘布局的脆弱密码(当然部分考虑安全的系统会制定对应的密码策略对其进行限制)，其次即便我们使用了极为复杂的密码，也不能完全规避"社工钓鱼"和"中间人"攻击等威胁，攻击者可以通过脱浏览器端的凭据信息等方式获取用户的密码，再者就是用户都有一个特征就是"惰性"，很多用户在多个网站可能会使用同一个登录密码，故此攻击者可以通过找寻被泄露的账户密码获取到真实的账户密码信息并实现登录操作，基于以上多个风险层面，我们接下来对用户的身份认证进行简易的探讨并结合业务、测评等维度给出关联的安全设计

01

为你的CVM设置SSH密钥吧！

认证是用于证明您有权执行某项操作的信息，例如登录到系统。认证通道是身份验证系统向用户传递因素或要求用户回复的方式。通俗的来讲，密码和安全令牌就是身份验证证明，计算机和电话是就是身份验证的通道。

02

谷歌authenticator接入与使用

一、authenticator解决了什么问题二、authenticator的原理三、springboot集成authenticator四、做成可复用starter五、参考

02

Zabbix 7.0 LTS MFA 多因素身份验证

Zabbix 7.0 版本支持企业级 MFA多因素身份验证（MFA）认证，登录Zabbix 除了用户名和密码之外，还需提供了额外的安全层，增强Zabbix 前端的安全性。使用MFA，用户必须存在于Zabbix中，登录时提供Zabbix凭据同时还必须通过多因素身份验证证明自己的身份。

01

GitHub用户注意，网络钓鱼活动冒充CircleCI窃取凭证

9月26日消息，GitHub警告称，有网络钓鱼活动冒充CircleCI DevOps平台，瞄准GitHub用户窃取证书和双因素身份验证（2FA）代码。

01

RHEL CentOS 8 SSH双因素认证

双因素认证就是通过用户已知信息（用户名和密码）+用户预先未知信息二要素组合到一起实现双因素身份认证。双因素认证是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥，该密钥同时存放在服务器端，每次认证时动态密码卡与服务器分别根据同样的密钥，同样的随机参数（时间、事件）和同样的算法计算了认证的动态密码，从而确保密码的一致性，从而实现了用户的身份认证。

02

登录GitHub要求2FA了，安全且免费密保使用

从 2023 年 3 月开始到 2023 年底，GitHub 将逐渐开始要求在 GitHub.com 上贡献代码的所有用户启用一种或多种形式的双因素身份验证 (2FA)。如果你在符合条件的组中，当选择该组进行注册时，将收到一封通知电子邮件，该电子邮件标志着 45 天的 2FA 注册期的开始，并且你会看到要求你在 GitHub.com 上注册 2FA 的横幅。如果未收到通知，则表示你不是需要启用 2FA 的组的成员，但我们强烈建议启用 2FA。

00

WordPress安全插件Wordfence安装激活及使用教程

本文介绍WP安全防护插件Wordfence安装激活及使用教程，Wordfence Security插件是一款全面的 WordPress 安全解决方案，可以实现登录安全，集中管理，双因素身份验证，恶意软件扫描，防火墙等网站防护功能。

06

动态令牌_创建安全令牌

HMAC-based One-Time Password 简写，表示基于 HMAC 算法加密的一次性密码。是事件同步，通过某一特定的事件次序及相同的种子值作为输入，通过 HASH 算法运算出一致的密码。

04

动态令牌之 OTP,HOTP,TOTP 的基本原理 Python

OTP 是 One-Time Password的简写，标识一次性密码HOTP 是HMAC-based One-Time Password的简写，表示基于HMAC算法加密的一次性密码。是事件同步，通过某一特定的事件次序及相同的种子值作为输入，通过HASH算法运算出一致的密码。（基于事件）TOTP 是Time-based One-Time Password的简写，表示基于时间戳算法的一次性密码。是时间同步，基于客户端的动态口令和动态口令验证服务器的时间比对，一般每60秒产生一个新口令，要求客户端和服务器能够十分精确的保持正确的时钟，客户端和服务端基于时间计算的动态口令才能一致。

02

双因素认证（2FA）原理介绍及实现

😀 我们常说的认证（authentication）就是在确认用户的身份，是在进行重要操作时的必要手段，譬如网站登录、银行取现等。

01

GitHub：2023年底前所有用户账户需启用双因素身份验证

5月4日，代码托管平台GitHub 宣布了一项新的账户保护机制，所有上传代码的开发者及用户账户必须在2023年底前启用一种或多种形式的双因素身份验证 (2FA)。

01

身份认证之双因素认证 2FA

这里所说的身份认证，指的是狭义上的在计算机及其网络系统中确认操作者身份的过程，从而确定用户是否具有访问或操作某种资源的权限。

02

关于Web验证的几种方法

验证（Authentication）是具备权限的系统验证尝试访问系统的用户或设备所用凭据的过程。相比之下，授权（Authorization）是给定系统验证是否允许用户或设备在系统上执行某些任务的过程。简单地说：身份验证：你是谁？授权：你能做什么？身份验证先于授权。也就是说，用户必须先处于合法状态，然后才能根据其授权级别被授予对资源的访问权限。验证用户身份的最常见方法是用户名和密码的组合。用户通过身份验证后，系统将为他们分配不同的角色，例如管理员、主持人等，从而为他们授予一些特殊的系统权限。接下来，我们来看一下用于用户身份验证的各种方法。

03

业余草双因素认证（2FA）教程

所谓认证（authentication）就是确认用户的身份，是网站登录必不可少的步骤。密码是最常见的认证方法，但是不安全，容易泄露和冒充。

02

双因素认证（2FA）教程

所谓认证（authentication）就是确认用户的身份，是网站登录必不可少的步骤。密码是最常见的认证方法，但是不安全，容易泄露和冒充。越来越多的地方，要求启用双因素认证（Two-factor

双因素认证（2FA）教程

所谓认证（authentication）就是确认用户的身份，是网站登录必不可少的步骤。

02

云计算安全的新挑战：零信任架构的应用

随着企业越来越多地将工作负载迁移到云上，云计算安全性已成为信息技术领域的重要议题。云计算的普及带来了许多便利，但也伴随着新的安全挑战。其中，零信任架构（Zero Trust Architecture，简称ZTA）崭露头角，被认为是有效应对云计算安全挑战的一种关键策略。

01

如何为WordPress网站添加双因素身份验证

不管你是使用 WordPress建站， Magento 建站，在网站上线后，都不可避免的会受到各种恶意软件来登录你的网站后台，是不是有些提心吊胆呢？

04

Github 的双重验证为什么既能用1Password又能用Microsoft Authenticator

GitHub支持多种双重验证（2FA）方式，包括基于时间的一次性密码（TOTP）和基于推送通知的验证。

01

六种Web身份验证方法比较和Flask示例代码

在本文中，我们将从Python Web开发人员的角度看处理Web身份验证的最常用方法。

04

使用腾讯云轻量服务器安装雷池结合宝塔面板为你的网站保驾护航｜技术创作特训营第一期

前不久在开源中国看到一款叫长亭雷池的防火墙软件，在自己的博客站上实验了一下效果不错，听说腾讯云又在做服务器的活动，所以将网站加固的过程在免费体验服上梳理了一遍，希望能帮助到更多同学保护自己的站点服务。

09

如何在Ubuntu 14.04上使用双因素身份验证保护您的WordPress帐户登录

安全性是运行WordPress网站最重要的方面之一。我们中的许多人都倾向于认为黑客不会打扰我们的网站，但实际上，未经授权的登录尝试是在公共互联网上运行服务器的常见部分。

00

freeotp 安装及使用过程[通俗易懂]

FreeOTP 是一个双因素认证应用系统，利用 OTP 一次性密码协议，支持 Android 和 iOS。可通过扫描二维码或者手工输入方式轻松添加 Token。

03

【ASP.NET Core 基础知识】--身份验证和授权--使用Identity进行身份验证

在ASP.NET Core中，Identity是一个用于处理用户身份验证和授权的框架。它包含了一系列组件，用于管理用户、角色、声明等身份相关的功能。以下是ASP.NET Core Identity的主要组成部分：

00

我应该删除微软帐户密码吗？

互联网时代，密码已成为生活中的必需品，每个人都有非常多密码，例如银行密码、社交账号密码、游戏账号密码等等。我们的数字生活大多数时候都依赖密码做安全保护，然而，密码本身的安全性却很差，原因主要有两方面：

00

IT知识百科：什么是无密码身份验证？

传统的身份验证方法通常依赖于用户名和密码的组合，但随着技术的发展和安全需求的提高，无密码身份验证逐渐成为一种趋势。无密码身份验证通过采用更安全和便捷的方式，消除了传统密码所存在的一些弱点和风险。本文将详细介绍无密码身份验证的原理、常见技术和优势。

04

两步验证杀手锏：Java 接入 Google 身份验证器实战

大家应该对两步验证都熟悉吧？如苹果有自带的两步验证策略，防止用户账号密码被盗而锁定手机进行敲诈，这种例子屡见不鲜，所以苹果都建议大家开启两步验证的。

02

Duo RDP双因素身份验证防护绕过

Duo与Microsoft Windows客户端和服务器操作系统集成，可以为远程桌面和本地登录添加2FA双因素身份验证，在国内注册时可能会出现Google reCAPTCHA人机验证显示不出来的情况。至于如何安装和配置2FA双因素身份验证就不详细介绍了，请移步官网：https://duo.com/docs/rdp。

01

身份验证器是如何验证我们的身份?

我以为我最初遇见他是在宝塔面板上，因为他可以方便的帮助我们进行身份验证。其实我们早就相遇在QQ安全中心手机版的口令里面（此处不确定是否是使用同一种算法，不过原理类似）。当初遇见他，我并不知道他是离线的。我以为谷歌身份验证器肯定是绑定谷歌账号的。后来找了半天，原来他只是个离线的软件。相信有很多同学和我一样的想法：离线身份验证器如何能使我们登录在线的场景？

01

云应用服务到底有多安全?

IT民主化和SaaS的广泛应用意味着每个人都需要了解SaaS云计算应用程序的安全性。人们对SaaS应用的依赖性越强，就越意识到他们担负责任的重要性。而SaaS领域的安全性、治理和合规性需要仔细研究。 📷 人们可以想象一下没有软件即服务(SaaS)的场景，这真的很难做到，因为很多企业、组织和个人几乎每天都依赖这些云应用服务。人们对SaaS应用的依赖性越强，就越意识到他们担负责任的重要性。而SaaS领域的安全性、治理和合规性需要仔细研究。用户都是首席信息安全官(CISO) 大多数Of

09

MaxKey单点登录认证系统-开源IAM/IDaas产品

MaxKey单点登录认证系统，谐音马克思的钥匙寓意是最大钥匙,是业界领先的IAM/IDaas身份管理和认证产品,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议，提供安全、标准和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)、RBAC权限管理和资源管理等。

04

Java集成谷歌身份验证器

Google身份验证器 Google Authenticator 是谷歌推出的基于时间的一次性密码(Time-based One-time Password，简称TOTP)，只需要在手机上安装该APP，就可以生成一个随着时间变化的一次性密码，用于帐户验证。

07

[RFC6238] TOTP: 基于时间的一次性密码生成算法

在闲暇时间做了一个TOTP相关的开源项目，在项目初步完成之余，我尝试对[RFC6238]文档进行了翻译，供大家参考与查阅，若有不妥之处，还望各位前辈海涵斧正。

01

3.6K Star开源一个简单好用安全交互审计系统,轻量级堡垒机系统

05

每日开源 | 告别造轮子，试试这个单点登录框架...

在企业开发中，我们经常需要处理单点登录的问题，今天推荐给大家一款不错的框架，避免重复造轮子。

03

每日开源 | 告别造轮子，试试这个单点登录框架...

在企业开发中，我们经常需要处理单点登录的问题，今天推荐给大家一款不错的框架，避免重复造轮子。

04

加固你的Roundcube服务器

Roundcube是一个Webmail客户端，具有强大的安全功能和来自其插件存储库的广泛自定义选项。本文介绍如何进一步保护基本的现有Roundcube安装。

00

强大而灵活的身份验证和授权服务

这篇文章介绍了几个优秀的开源项目，它们都有一些共同点。首先，这些项目都是关于身份验证和授权的解决方案，可以帮助应用程序提供安全可靠的用户认证功能。其次，这些项目都支持单点登录 (SSO) 功能，使用户能够在多个系统之间无缝切换。最后，这些项目注重安全性，并提供了各种安全技术来保护数据和通信链路。总体而言，这些开源项目具有丰富的功能、易于集成和使用，并且拥有强大的社区支持。

01

统一身份认证，构建数字时代的安全壁垒——统一身份认证介绍、原理和实现方法

随着数字化时代的来临，个人和机构在互联网上的活动越来越频繁，对于身份认证的需求也愈发迫切。为了有效应对身份欺诈、数据泄露等问题，统一身份认证（Unified Identity Authentication）应运而生。

01

为 Linux 服务器 SSH 添加 TOTP 动态验证码以及 Java 实现算法

TOTP 基于时间的一次性密码算法（Time-Based One-Time Password）是一种根据预共享的密钥与当前时间计算一次性密码的算法，利用不同设备时间相同的特性，将时间作为特定算法的一部分从而达到无需网络进行安全验证的目的。该算法有两个输入，一个输出，一个输入是随机生成的密钥，密钥需要被验证方和验证器同时持有，另一个输入即系统时间，通常是 UNIX 时，输出则是两方相同的验证码。一般的验证码有效期为 30 秒，每 30

07

使用aerogear生成totp

aerogear-otp-java-1.0.0-sources.jar!/org/jboss/aerogear/security/otp/Totp.java

02

[信息安全] 4.一次性密码 && 身份认证三要素

在信息安全领域，一般把Cryptography称为密码，而把Password称为口令。日常用户的认知中，以及我们开发人员沟通过程中，绝大多数被称作密码的东西其实都是Password（口令），而不是真正意义上的密码。本文保持这种语义，采用密码来代指Password，而当密码和口令同时出现时，用英文表示以示区分。 0. OTP一次性密码 OTP是One Time Password的简写，即一次性密码。在平时生活中，我们接触一次性密码的场景非常多，比如在登录账号、找回密码，更改密码和转账操作等等这些场景，其

06

ownCloud的双因素身份验证

在本教程中，我将向您介绍如何使用privacyIDEA保护自己的Cloud安装，您可以使用它来管理用户的第二个身份验证因素。

00

Ubuntu 20.04 开启并使用二步验证教程 (Two-Factor Authentication)

二次验证是目前比较常用的安全手段，通过设置二次验证，我们可以有效的避免账户密码可能的泄露导致的账户信息泄露，因为每次登陆前我们都需要获取一个一次性验证码，没有验证码就无法成功登陆。二次验证也叫两步验证、两步验证等。本文中老唐将说明如何在 Ubuntu 20.04 上使用 Google Authenticator PAM 模块进行 SSH 和 sudo 身份验证。

07

什么是双因素验证 2FA，如何用 Python 实现？

你说，加上短信验证码不就安全了，其实短信验证码也是不安全的，容易被拦截和伪造，SIM 卡也可以克隆，已经有案例，先伪造身份证，再申请一模一样的手机号码，把钱转走。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭