DoraCloud双因素认证使用说明

1. 概述

双因素认证（Two-Factor Authentication, 2FA）是一种安全机制，要求用户通过两种独立的验证因素来确认身份。通过多一层验证，即使密码泄露，攻击者仍难以绕过第二因素，大幅提升账户安全性。

TOTP（Time-based One-Time Password 基于时间的一次性密码）是2FA的一种实现方式，通过算法生成随时间变化的临时验证码，通常为6-8位数字，每30秒更新一次。 它已被采纳为Internet工程任务组标准RFC 6238。

TOTP工作原理： 共享密钥：用户与服务端预先共享一个密钥（通常通过扫描二维码或手动输入）。 时间同步：双方基于当前时间戳（以30秒为间隔）生成密码。 算法计算：使用HMAC-SHA1等算法将密钥与时间戳结合，生成一次性密码

DoraCloud采用TOTP机制实现双因素认证（2FA）。通过启用TOTP，为云桌面提供更安全的用户认证机制。

用户使用TOTP时，需要在手机上安装支持TOTP的客户端。比如 Microsoft Authenticator、谷歌Authenticator。

由于TOTP是标准协议，也可以选择其他支持TOTP的客户端。

2. 管理员启用TOTP

DoraCloud安装后，默认不启用TOTP。如需启用TOTP特性，需要在DoraCloud管理后台，启用TOTP。 操作步骤为，进入【系统】【系统设置】【常规设置】，勾选【双因子身份认证(TOTP)】，点击【设置】。参见下图。

TOTP验证依赖时间作为加密的因子，要求客户端和服务端的时间必须一致。需要确保DoraCloud管理系统的时间时正确的。

3. 用户使用TOTP

在管理员启用TOTP后，用户可以自助启用TOTP认证。

3.1 用户添加TOTP密钥

DoraCloud用户先以账号密码登录DoraCloud，在右上角选择【TOTP设置】。

在下图的双因素认证对话框中，选择【添加】。

然后系统会为用户生产一个证书。这个证书以二维码的形式显示。

这时打开手机的TOTP客户端程序，扫描这个二维码。客户端程序会保存这个密钥，并产生一个一次验证码。

将TOTP客户端中的这个密码输入到【输入动态口令】的位置。

如果密码正确，系统的【提交】按钮将从灰色变成黑色。

请点击【提交】。DoraCloud将保存该密钥。提示TOTP验证马设置成功。

接下来，请妥善保存如下20组备用码。 当用户的TOTP密钥丢失时，需要通过这10组密码对密钥进行重置。

3.2 使用TOTP动态密码登录

TOTP启用后，用户再次通过用户名+密码登录后，系统会提示输入TOTP密码。如下图。

用户在手机上查看TOTP客户端上的随时间变化的一次性密码，并输入密码，即可完成验证。

3.3 用户丢失TOTP密钥，使用备用码重置TOTP密钥

如果客户不小心丢失TOTP密钥，比如手机丢失，或者在TOTP客户端上误删了用户的TOTP密钥，需要通过重置TOTP密钥找回密钥。

3.3.1 使用备用验证码登录

用户在输入账号、密码后，系统提示输入验证码或者备用验证码。 这时输入一个之前保存的备用验证码。

3.3.2 编辑TOTP，TOTP客户端保存新的密钥

然后进入TOTP设置，选择【编辑】，然后手机TOTP客户端扫描二维码，然后输入客户端产生的一次性密码，点击【提交】。 这样系统就产生了新的TOTP密钥。

注意事项： 任何时候重置了TOTP密钥，记得保存新的备用码。

3.3.4 最后保存新的备用码

在TOTP设置中，选择【备用码】，保存。

4. 常见问题

4.1 一次性验证码无效

如果是所有用户的TOTP都无效，请管理员检查 DoraCloud 管理系统的时间。

DoraCloud 管理系统运行在Linux VM内，Linux VM一般同步虚拟化服务器的时间。请根据虚拟化系统的类型，检查虚拟化管理系统(Windows Server、Proxmox VE、VMware）的时间是否正确。

4.2 丢失TOTP密钥，也没有备用验证码

这种情况需要联系管理员后台处理。