Winmail 邮箱 动态密码 TOTP 二次认证(2FA双因素认证)

2FA 介绍

    2FA,双因子认证2FA(Two Factor Authentication)是一种安全认证过程,需要用户提供两种不同类型的认证因子来表明自己的身份,包括密码、指纹、短信验证码、智能卡、生物识别等多种因素组合,从而提高用户账户的安全性和可靠性,2FA 提供了比传统的单一身份验证方法更高的安全性,因为即使黑客获得了用户的密码,他们仍然需要第二个因素才能访问用户的账户。 目前常用的是 密码 + 动态密码 TOTP。


动态密码 TOTP是什么?

    动态密码 TOTP 是基于时间的一次性密码算法(Time-Based One-Time Password)的简写,它是一种基于时间的身份验证机制,用于增强账户的安全性。 TOTP 的工作原理基于一个共享的密钥和当前的时间信息。通常,用户在其设备上安装一个支持 TOTP 的应用程序,比如 谷歌 Authenticator 。在设置两步验证时,系统会生成一个密钥(通常是一个二维码), 用户将其添加到身份验证应用程序中。每隔30秒,该应用程序会生成一个基于当前时间和共享密钥的动态密码。要求客户端(手机)和服务器能够十分精确的保持正确的时钟,客户端(手机)和服务端基于时间计算的动态口令才能一致。 

手机上常用的 TOTP APP(可以到各大应用市场下载):


      谷歌 Authenticator

      微软 Microsoft Authenticator

      微信小程序 - 腾讯令牌(腾讯身份验证器)

      2FAS Auth

      Twilio Authy


Winmail 邮箱密码+TOTP 功能

二次认证只支持 Webmail 浏览器登录邮箱,不支持邮件客户端和手机APP,Winmail 7.2 起支持这个功能

1、系统后台启用



2、针对某个邮箱用户属性里设置,可以批量设置多个已存在用户这个属性;域名属性-默认密码策略里,可以针对以后新加邮箱用户设置这个属性。




这个邮箱用户登录 Webmail 时,输入正确邮箱密码后,出现提示框



点击“扫码绑定”出现二维码


使用手机上任意一个支持 TOTP 功能的 APP 扫描二维码


关闭二维码弹出框,正确输入 APP 里显示的对应项目的6位数字,就可以登录


以后这个用户登录 Webmail 都必须验证 TOTP,要使用同一 APP



几点说明:

1. TOTP 是基于时间计算动态口令,所以要求客户端(手机)和服务器的时间都要正确,就是标准时间。 

2. 关闭邮箱用户属性里的那个设置,再登录 Webmail 不会再验证 TOTP。

3. 不同用户可以使用不同的 APP 绑定。

4. 邮箱用户要解绑 APP 或者不小心删除了对应的项目,需要管理员在后台清除 ID,以便用户再次绑定。