多因素认证
(Multi-Factor Authentication
,简称 MFA
)是一种提升账户安全性的身份验证技术。与传统仅依靠密码的方式不同,MFA 要求用户在登录账户或执行敏感操作时,提供两种或以上来自不同类别的信息,以确认身份的真实性。
这些验证信息通常包括以下几类:
系统通常要求用户同时提供其中两项及以上验证信息,才能完成身份认证。
随着网络环境日益复杂,单一密码的安全性已难以有效保障。一旦密码被盗取或泄露,攻击者即可直接获取用户账户权限。多因素认证通过增加验证步骤,显著降低了账户被非法访问的风险,即便密码泄露,攻击者若无法同时获取其他验证方式,仍无法完成登录操作。
实体认证保证等级
(Entity Authentication Assurance Level
,缩写为EAAL
)是由国际标准 ISO/IEC 29115 定义的身份认证强度分级体系,主要用于衡量和描述某一认证过程在安全性方面的可信程度。
标准共定义了 四个等级(Level 1 到 Level 4),每个等级代表不同的认证强度:
MFA 是实现 EAAL 等级的关键。不同等级的 EAAL 对 MFA 及其具体实现形式的要求各不相同,简要关系可如下表所示。
| EAAL 等级 | 是否要求 MFA | 推荐认证方式 | 身份验证因素独立性 | 说明 |
|---|---|---|---|---|
| EAAL1 | 非必须 | 用户名 + 密码 | 无要求 | 基础级别,仅要求能识别用户身份,无需保障因素多样性或抵抗性。 |
| EAAL2 | 推荐 | 密码 + 一次性验证码(OTP)、或平台认证器(如设备 PIN) | 可选但建议 | 支持基本抵抗攻击手段,推荐引入两个独立因素以提升安全性。 |
| EAAL3 | 必须 | 密码 + FIDO2 安全密钥、或平台认证器 + 生物识别 | 必须是物理隔离或密码学隔离的两种因素 | 具备中等至强认证强度,必须使用独立的 MFA 方案,如密码 + 安全硬件。 |
| EAAL4 | 必须 | FIDO2 安全密钥 + 生物识别,或智能卡 + PIN | 必须且具备加密抗抵赖特性 | 高级防护要求,面向高风险应用场景,认证器需具备安全启动、抗克隆等能力。 |
CC98 登录中心目前支持多种多因素身份验证机制,包括:
一次性密码(
One Time Password,简称
OTP)设备生成验证码;
通行密钥(又称
PassKey)验证身份。
本网站使用上一节所述的 EAAL 规范定义账户安全等级,不同登录和 MFA 方式对应的 EAAL 级别不同,具体如下表所示:
| 登录方式 | EAAL 等级 |
|---|---|
| 用户名密码 | EAAL1 |
| OTP | EAAL2 |
| 浙大通行证 - 用户名密码 | EAAL2 |
| 浙大通行证 - 短信验证码 | EAAL2 |
| 浙大通行证 - 人脸识别 | EAAL2 |
| 短信验证码 | EAAL2 |
| 通行密钥 | EAAL3 * |
其中,通行密钥
方式可直接用于登录本网站;其他方式需首先使用用户名密码方式登录本网站,随后访问多因素身份验证页面进行二次验证。
在你访问本网站时,右上角用户名旁边的图标将指示你当前的MFA 状态和 EAAL 等级:
由于 EAAL4 等级通常需要特殊外置加密安全设备(例如智能卡或者 USB 安全密钥),本网站目前无法支持 EAAL4 级别的 MFA 验证机制,也无法提供该级别的账号安全等级保证。
你可以随时单击用户名旁任意形式的盾牌图标,或手动访问多因素身份验证页面执行多因素身份验证;当你尝试访问本网站或者其它应用中具有特定 EAAL 要求方可使用的功能时,网站也会自动将你引导至该页面。
验证页面将会列出本网站支持的所有多因素身份验证方式,你可选择任意一种方式进行验证。特别注意,在以下情况下,部分验证选项将无法使用:
使用通行密钥登录本网站时,基于现代互联网安全准则,你将被自动视为已经满足了多因素身份验证要求并满足 EAAL3 标准,因此通常无需再进行二次验证。
在登录本网站后,你可以单击网站右上角用户名进入账号管理页面,该页面将会显示多因素身份验证功能的相关设置,你可以通过该页面中的交互按钮对各项功能进行修改。注意:浙大通行证和手机号码由你的账户绑定信息决定,因此,这两种验证方式始终处于默认开启状态,且你无法修改它们;验证器和通行密钥需要你手动开启,在启用后,你可随时根据需求进一步修改或者删除它们。
修改多因素身份验证设置需要你首先通过二次验证,因此你首次进行操作时,只能使用默认开启的方式进行二次验证。随后,你可添加新的验证方式,新启用的方式具有和当前已通过的验证方式具有同等效力(但不会高于该方式的最高效力等级,如 OTP 验证器最高只能支持 EAAL2)。对于现代设备和浏览器,我们推荐使用通行密钥
或验证器
作为你的主要验证方式。他们通常和你的手机等设备直接关联,且验证时无需访问互联网,可同时满足安全性和便捷性的要求。
如果你的账号绑定信息有误,或验证设备遗失,导致无法修改验证设置,请联系运营管理团队说明情况,后台工作人员将视情况为你手动调整验证设置。
在你的应用使用 CC98 登录系统登录后,你可以通过身份令牌(identity_token)中的 acr(认证上下文类别引用
,Authentication Context Class Reference
)声明确定用户的 EAAL 等级。等级 1-4 分别对应值 eaal1 至 eaal4。如果声明不存在或者为其他值,你应当视为等效于最低安全等级,也即 eaal1。
注意:该声明仅能体现本次请求登录时用户的 EAAL 状态。令牌有效期和 EAAL 有效期相互独立,即使用户后续注销 EAAL 状态,已登录的令牌也不会自动失效。如你需要尽可能保证 EAAL 状态准确,建议你降低令牌有效期,并使用刷新令牌(refresh_token)定期更新令牌信息。
在你的应用使用 CC98 登录系统登录后,你可以通过身份令牌(identity_token)中的 amr(认证方法引用
,Authentication Methods References
)声明确定用户使用的 MFA 验证方式。该声明的值为数组形式,可能包含多个值,表示当前登录状态下用户已经进行过的所有 MFA 验证方式。每种验证类型和对应的字符串值如下表所示:
| 验证方式 | 字符串值 |
|---|---|
| 用户名密码 | password |
| OTP | otp |
| 浙大通行证 - 用户名密码 | zjuam.password |
| 浙大通行证 - 短信验证码 | zjuam.sms |
| 浙大通行证 - 人脸识别 | zjuam.face |
| 短信验证码 | sms |
| 通行密钥 | passkey |
举例而言,如该属性的值为 ["password", "sms"],即表示用户通过用户名密码登录系统,同时使用手机短信进行了二次验证。
EAAL 等级信息来确定用户的安全等级,不要通过分析 MFA 验证方式的办法自行进行判断。
如果你的应用对用户身份校验较为严格,希望用户必须满足特定安全等级要求才能使用,则你可以在应用设置
界面修改强制安全等级要求
选项。此时,用户进入你的应用对应的授权界面时,账户的安全状态必须至少满足你给定的等级。否则,用户将会被自动引导至多因素身份验证页面,要求进行补充验证。
注意:该选项主要作用是简化业务应用登录流程,在某些特殊情况或有恶意因素介入登录流程时,你仍然可能会收到安全等级不符合你要求的身份令牌。因此从安全角度出发,你仍然需要进行上一节所述的令牌检查操作,以确认用户当前的 EAAL 状态满足要求。
如果你的应用只希望对部分用户或功能要求特定安全等级,你可以在需要特定等级时在授权请求中加入 acr_values 参数并将其值设定为上文所述的特定等级字符串。此时本网站将自动引导用户完成必要的补充验证后重新对你的应用进行授权。没有直接复用当前凭据并要求用户补充额外验证信息的方法(补充授权并复用令牌不符合 OpenID Connect 协议规范),但通常情况下,用户会保留在 CC98 登录中心的登录状态,因此实际只需按照提示进行补充认证即可完成授权流程。
注意:用户授权时的实际安全等级
和应用要求用户满足的安全等级
这两者并不保证一致。因此,你应当始终使用上文所述方法检查用户令牌,以确定用户当前的安全等级满足实际要求。
我的一部分 MFA 验证功能被提示降级
,这是怎么回事?
不同的 MFA 机制对应的安全等级标准各不相同。以 EAAL 规范为例,OTP 和短信验证码通常被认为符合 L2 标准,而人脸验证、带生物验证的 PassKey 则符合 L3 标准。但在实际使用中,如果你创建对应 MFA 设置的时候处于更低的标准级别,则实际该机制的安全性就会有所下降:例如,如果你仅通过用户名密码登录(L1 标准)就创建 OTP 验证器,则此时 OTP 验证器的安全性并没有超过用户名密码验证这一级别,因为恶意用户同样只需盗取你的用户名密码即可代你生成 OTP 验证信息。只有你自身处于通过 L2 标准的状态(如已通过手机短信验证身份),创建的 OTP 验证信息才能具有 L2 级别效力。
出于便捷性考虑,本网站允许你在低级别状态下就预先创建对应的验证设置,在创建后,你可以在使用其他高级别验证方法提升安全状态后,在应用设置界面选择提升被降级的 MFA 验证功能。例如,当你使用短信验证码进入 L2 状态,则你可以将 OTP 验证器的验证等级也提升到 L2。提升等级最高不能超过方法自身支持的最高等级(例如 OTP 验证器最高只支持 L2 标准,则你无法将其提升到 L3 级别),也不能高于你提升时所处的等级(例如当你处于 L2 状态下,即使通行密钥功能支持 L3 标准,你此时也只能提升到 L2 级别)。
我的手机号码信息是怎么来的,我能修改吗?
CC98 小程序曾经具有绑定手机号的功能,如果你当时进行了手机号绑定操作,即可将你的 CC98 账号和手机号关联。目前该接口已暂时关闭,因此现阶段无法对新账号进行手机号绑定;原则上,绑定手机号不能修改,如果你确有修改需求,请联系运营管理团队。
在信息中心的浙大通行证接口升级完毕后,未来我们将直接通过校内接口向你的通行证绑定的手机号码发送短信。在这种情况下,如你需要修改手机号码,请直接联系学校信息中心或使用浙大通行证个人自助服务进行修改。
我可以绑定多个 OTP 设备吗?
以技术角度来看,一个账号同时绑定多个 OTP 设备是可行的,但多个 OTP 设备共享密钥会降低安全性。除了 OTP 设备外,本网站还支持多种其它的二次验证方式,设备丢失时你可以通过这些辅助方法完成验证并修改设置,因此并不需要额外设置一个备用
OTP 设备,目前互联网的新一代安全规范也建议你只保留一个 OTP 设备。
如果我更换了 OTP 设备(例如手机),OTP 无法使用,我如何重新绑定 OTP 功能?
目前绝大部分商用 OTP 管理软件(包括但不限于本网站推荐的产品)都支持对账号进行云同步。通常情况下,你只需要遵循软件中的提示,在新设备上登录软件账号,即可自动重新获得所有 OTP 代码数据,这种情况下,你无需进行额外操作,可继续使用同步的 OTP 验证码进行验证。
如果你使用的软件确实不支持同步功能,或者因为其他原因无法进行同步,你可以先临时使用其他方式进行二次验证。完成后,你可以在账号管理页面删除现有 OTP 设置并按照提示在新设备上重新启用。
OTP 账号上能显示 CC98 的 LOGO 或者我的头像吗?
按照目前 OTP 验证器的通用设计规范,OTP 账号的图标通常和 OTP 的颁发机构(也即使用该服务的网站,例如 CC98)相关联。但 OTP 协议目前并不支持在创建账号时提供自定义图标的功能。目前,主流 OTP 程序通常使用内置的颁发机构图标库决定图标,而图标库由应用开发者维护,通常不提供第三方主动上传的途径,因此我们无法控制 OTP 验证器中的图标样式。如果你了解更多有关在 OTP 验证器程序中显示自定义图标的途径,欢迎你随时联系运营管理团队进行反馈。
为什么网站提示我通行密钥功能无法使用?
要使用通行密钥功能,你必须满足以下条件:
以上条件缺一不可。如果确定你的设备支持指纹或者 PIN 登录,你平时登录系统时也使用过这些功能,则可能是你的浏览器版本过旧导致无法使用它们。请尝试使用最新版的 Edge、Chrome 或 FireFox 浏览器访问本网站。
如果我使用指纹(或其它生物特征)方式登录,是否意味着 CC98 后台拥有了我的个人隐私信息?
通行密钥
允许使用指纹等生物特征确认。在这种情况下,这些个人隐私信息将存储在你的手机芯片内部,并使用特殊方式进行保护。当你注册通行密钥时,你的手机将会产生一个用于比对指纹信息的加密数据串,我们的后台只能记录这串加密数据。当网站提示你使用指纹进行登录时,你的手机将会负责确认你的指纹并将同样的加密串提供给网站后台。我们通过对比加密串内容即可确认你的身份。我们无法拥有你的指纹,你的手机也不会将真正的指纹数据传输给我们。
没有生物识别装置的普通台式电脑可以使用通行密钥功能吗?
一般家用台式电脑通常没有自带指纹、虹膜或者其他类似的生物识别装置,但这不意味着通行密钥功能将无法使用。如果你的电脑安装了较新的操作系统,包括但不限于最新版 Windows、MacOS 或者 Linux,且你的电脑主板支持基于硬件的加密模块(Trusted Platform Module
,简称 TPM
),这些操作系统通常允许你使用个人识别码(Personal Identification Number,简称
PIN
)保护你的登录账号和密码信息,在这种设备上,你可以使用 PIN 作为二次验证方式,从而使用通行密钥功能。有关 PIN 和 TPM 的详细介绍此处不展开,要了解你的设备和操作系统是否支持 TPM 和 PIN,请参考相关软硬件厂商的技术资料。
使用 PIN 和账户密码有什么区别,不都是输入密码吗?
PIN 本身并非密码,而是一道保护密码的额外屏障,如果将系统密码理解为打开金库门的钥匙,设置 PIN 就是在银行工作人员证明了你是金库主人后,把盖章的所有证明
存放在另一个保险箱中,而 PIN 则是这个保险箱的钥匙。因此,你必须首先使用密码登录一次后才能设置 PIN;而如果你能提供保险箱钥匙,系统也会默认为你有能力打开金库。
之所以这样设计,是因为你的账户密码(金库钥匙)关联到你的登录账号,为了便于同步各项功能,我们通常使用同一个账户登录多种平台,包括但不限于操作系统、邮箱、会员服务等等,它们必然使用同样的密码,这个密码一旦泄露或被监听,将会对你的信息安全造成严重威胁。但实际上,你只需要证明你是这个账户的主人,并不是要真正登录账户,PIN 的设计初衷正是为了分离登录
和证明身份
两种目的。PIN 只证明你是某个账户的主人,并且不直接记录密码,并且这个证明只通常被当前设备认可,换言之,如果你用同一个账户登录多个设备,则每个设备都需要独立设置 PIN,它们相互之间并不能换用。而黑客即使偷取了你在某个设备上的 PIN,也只是获得了这台设备的登录权限,无法用于登录你的其它设备,也不能代替密码访问你的邮箱或者会员服务。
为了进一步保障信息安全,操作系统通常会对 PIN 进行特殊保护,PIN 数据将被存放在设备的特殊加密区域上,即使的设备被盗,黑客也无法提取出其内容;PIN 的输入界面也会受到保护,系统通常会禁止所有第三方程序访问输入界面,防止恶意软件通过录制屏幕或者键盘获得你的输入内容。
总而言之,通过以上种种设计,PIN 最大程度保障了你的身份可靠性,降低了信息安全风险。
为什么我在网站上删除了通行密钥,登录的时候弹出的选项还是会有已经删除的账号,而且点击后会提示无法使用?
通行密钥的真实账号数据存储在你的设备而非我们的网站中。我们的网站只存留了用于比对账号的加密数据串。根据通行密钥的设计原则,我们只能删除存留在网站内的比对信息,无法自动帮你删除存在设备中的真实密钥数据,而你在尝试登录时,设备弹出的选择框是基于你在设备中存留的真实数据决定的,因此在本网站删除账号后,你仍然能在选项中看到被删除的项目,但此时比对信息已经被清除,因此必然导致致登录失败。
要彻底清理登录选择列表,你需要手动操作你的设备,找到管理通行密钥的相关功能并在其中执行密钥删除操作。由于不同类别设备的管理入口各不相同,此处我们无法对删除密钥数据的具体步骤进行详细介绍,你需要自行参考设备的使用手册以完成该操作。
为什么明明只有一个选项的时候,每次都要先点一下用户名才能输入 PIN,可以跳过选择用户这一步吗?
通行密钥的弹出窗口交互模式由你的设备决定,我们无法进行干预。在可能的情况下,我们会给交互窗口提供必要的提示,减小其选择范围,例如当你在登录后进行二次验证时,我们会在提示中写明你当前的登录名称,这样选择项可能会变少,或者设备也可能会跳过用户选择而直接进入密码输入界面。但无论如何,是否要求你必须先确认用户超过了本网站的管理范围,只能由你的设备决定,你可以在设备设置中查找是否有类似只有一个用户时自动跳过选择
的选项。
可以在弹出的菜单上显示我的头像方便我识别吗?
通行密钥的现有设计准则不支持在创建密钥时提供头像和其他额外信息,因此我们无法为弹出的列表添加头像或者其它方便你进行识别的内容。如果你了解这方面的技术进展,找到了向通行密钥选项添加头像的方法,欢迎你随时联系运营管理团队。