V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
joynvda
V2EX  ›  云计算

不要轻易尝试阿里云 MFA ~~解绑很麻烦!

  •  
  •   joynvda · 2022-06-07 22:00:26 +08:00 · 4300 次点击
    这是一个创建于 934 天前的主题,其中的信息可能已经有所发展或是发生改变。

    先说一下场景:由于自己不慎,手机掉坑里,碎屏了,没法进行屏幕操作。然后,需要解绑阿里云的 MFA 。这时,新的阿里云 APP 没有 MFA ,登录不了。

    只有网页上申请解绑,(幸亏前 2 天操作过网页版,设置允许 7 天内无需 MFA 验证),也是需要 MFA 。 但是,我没有。只能走人工申诉。

    填资料,还要在阿里云 APP 上照脸,进行人脸比对。。。都人脸比对通过了才能继续网页的人工解绑申诉; 这个白痴设计,都人脸比对是本人,还要什么 MFA ?

    最神奇的是,这个人工申诉解绑的应该不是用于 MFA 的表单。里面有退款帐号,金额。估计是另外用途的。

    还得上传资料,签字的免责。。。。等 3 天。

    早知道如此,我就一直用短信验证好了。 SIM 卡坏了,到运营商营业厅换也不过个把小时的事情。

    (我试过国外一家。可以 email 验证解绑 MFA 。)

    24 条回复    2022-06-08 22:23:44 +08:00
    eason1874
        1
    eason1874  
       2022-06-07 22:21:43 +08:00
    才知道这么麻烦

    还好阿里云 MFA 是通用的,设置的时候可以把二维码图片(或者扫描出文本)备份起来,下次换设备直接扫就好了
    joynvda
        2
    joynvda  
    OP
       2022-06-07 22:42:17 +08:00
    昨天申请的工单回复了。
    “解绑账号 mfa 吗?查看您的账号为企业实名认证,需提供:
    1 、最新的工商营业执照副本原件的照片(请一定拍照上传,扫描件不支持受理);
    2 、《变更账号安全信息申请函》见附件,经办人签字按手印,加盖单位盖章;(请一定拍照上传,扫描件不支持受理)


    ~~~ 以后还是短信验证好了。
    hyshuang2006
        3
    hyshuang2006  
       2022-06-07 22:53:48 +08:00
    体验过啦!烦到想砸电脑。
    V1Eerie
        4
    V1Eerie  
       2022-06-08 00:24:32 +08:00 via Android
    不要用阿里云 app 去绑定,换谷歌或者微软的双因素验证 app 体验更佳,还能网络云备份。
    vhus
        5
    vhus  
       2022-06-08 06:45:47 +08:00
    如果是企业账号千万别吧手机号弄丢了。
    别问我怎么知道的,搞了个几乎闭环的流程,提交一堆资料。
    i3x
        6
    i3x  
       2022-06-08 08:26:38 +08:00 via Android
    与之相反的是形同虚设的 ip 限制。。。。。。。。。偶尔可以大部分时间我发现还是随便登陆。。只被卡过一两次。。。
    liuzhaowei55
        7
    liuzhaowei55  
       2022-06-08 09:10:54 +08:00 via iPhone
    因为这种操作就是卡流程,他并不能真实校验什么,赌的就是信息获取难度。
    Eiden
        8
    Eiden  
       2022-06-08 09:17:14 +08:00
    触屏失效可以 otg 接鼠标操作
    mytsing520
        9
    mytsing520  
       2022-06-08 09:46:59 +08:00
    所以我是在 Authy 上绑定的阿里云的 MFA ,只要 Authy 不倒闭就可以用。至于阿里云 APP 上要做 MFA 校验,那就直接打开 Authy 取那边的值就行,虽然麻烦点
    mytsing520
        10
    mytsing520  
       2022-06-08 09:47:36 +08:00
    像 STEAM 这种强关联 MFA APP 的才难搞
    nothingistrue
        11
    nothingistrue  
       2022-06-08 09:56:06 +08:00
    实际上,不要轻易尝试任何没有备用解锁手段的 2FA 。开 2FA 的时候,给你的备用解锁手段,或者二维码,或者二维码代表的 Code 信息,一定要保存好,丢失了你就只能哭。如果上面的东西都丢失了,服务商还能让你轻易解锁账号,那这服务商肯定不靠谱。不开 2FA ,或者用短信验证做 2FA ,本质上是用安全性换易用性,重要账号不能这么干。

    目前最有效的 2FA 工具,是标准 TOTP 工具,例如 Keepass + Tray TOTP 插件,用这些工具再加上适当的备份措施,能让你安心的用任何标准 TOTP 方式的 2FA 验证。很有效并且还很方便的 2FA 工具,那就只有微软 Authenticator 、谷歌身份验证器,不考虑平台通用的话还可以加上苹果钥匙串。这三个大厂有很多备用方式能够定位到“你就是你”,当客户端丢失之后会让用户在找回来。小厂通常没办法定位“你就是你”,客户端丢了就丢了很难找回来(或者能随便找回来这样就没安全性了)。而像阿里这样的国内大厂,投广告防爬虫的时候,能有海量的数据定位到“你就是你”,儿童误消费退款、账号解锁的时候,或者任何处理仅对用户有利的情况的时候,哪些数据就集体失效了。
    nothingistrue
        12
    nothingistrue  
       2022-06-08 09:58:08 +08:00
    @mytsing520 #10 STEAM 真不要开客户端 2FA ,那玩意的主要目的不是 2FA ,是防止账号共享,老老实实用邮件 2FA 最靠谱。
    Seanfuck
        13
    Seanfuck  
       2022-06-08 10:00:07 +08:00
    可是 RAM 用户登录必须启用 MFA 或 U2F ,很操蛋
    goodryb
        14
    goodryb  
       2022-06-08 10:42:15 +08:00
    解绑 MFA 这种重量级操作进行流程严格也没什么问题吧,如果很简单被别人利用了,那安全性不是更差
    dingwen07
        15
    dingwen07  
       2022-06-08 10:46:01 +08:00
    @mytsing520 #10
    Steam 可以用抓包导出,部分第三方生成器支持 Steam 的代码,比如 Yubico Authenticator


    @nothingistrue #11
    目前来讲最有效的 2FA 是 WebAuthn
    zhzy0077
        16
    zhzy0077  
       2022-06-08 10:53:01 +08:00
    bitwarden 也支持 Steam TOTP
    g531956119
        17
    g531956119  
       2022-06-08 12:23:28 +08:00 via Android
    Keepass 的 TOTP 插件也支持 Steam ,基本用就能 Keepass+微软 Authenticator 保证便捷性和安全性
    qbqbqbqb
        18
    qbqbqbqb  
       2022-06-08 13:15:08 +08:00
    @nothingistrue 微软 Authenticator 不完全是标准 TOTP 工具,还提供了微软一键认证(无密码登录)的功能,TOTP 只是顺带附带的。谷歌身份验证器现在也不太推荐使用了,主要是备份比较麻烦,而且谷歌自己现在也不主推这个 2FA 软件(谷歌账号现在需要先绑定其它 2FA 才能加绑 TOTP 为可选 2FA 登录选项)。

    手机端标准 TOTP 2FA 更推荐一些开源软件,例如 Android 平台的 AndOTP 或者 Aegis Authenticator ,这些都标配导出加密备份的功能。
    qbqbqbqb
        19
    qbqbqbqb  
       2022-06-08 13:19:11 +08:00
    @dingwen07 也不必抓包,桌面端的 WinAuth 就有完整的代替 Steam 手机令牌的功能(可以直接在电脑上假装手机绑定 Steam 令牌,现在还支持交易确认),然后通过它导出 secret ,添加到手机端的第三方生成器里就可以了。
    ye4241
        20
    ye4241  
       2022-06-08 13:38:02 +08:00
    华为云的也是这么麻烦的,一堆资料提交上去了,终于解绑了。。。
    Buges
        21
    Buges  
       2022-06-08 13:50:43 +08:00 via Android
    其实我感觉,TOTP 2FA 最重要的作用是绕过其他 2FA 。很多网站会强制 2FA ,没有 TOTP 就得邮件、短信。对于用密码管理器的生成全随机密码同时也用密码管理器管理 TOTP 的用户而言,安全性由密码管理器本身保证,TOTP 本身没有增加任何的安全性。
    kkk123
        22
    kkk123  
       2022-06-08 17:35:48 +08:00
    感谢提醒,立马改回短信了
    iphoneXr
        23
    iphoneXr  
       2022-06-08 17:45:31 +08:00
    归结到底 所有的 MFA 二次验证都有这个问题,所以
    1 、凡是涉及到 mfa 的时候都要记录下 紧急恢复代码 ,用一次就废了的那种。
    2 、推荐上 bitwarden 这些密码管理软件,把 mfa 也放到云端。
    joynvda
        24
    joynvda  
    OP
       2022-06-08 22:23:44 +08:00
    本人阿里云 APP 还挂了英伟达开发者的 MFA 。
    估计没有涉及金钱,简单邮件验证就可以登录。然后,关闭 MFA 。

    得到的教训是:先把流程完整走一次 - 除了激活,还有替换;如果能够接受的,就没问题。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2596 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:22 · PVG 18:22 · LAX 02:22 · JFK 05:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.