V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
LinkedIn
joynvda
V2EX  ›  云计算

不要轻易尝试阿里云 MFA ~~解绑很麻烦!

  •  
  •   joynvda · 112 天前 · 2956 次点击
    这是一个创建于 112 天前的主题,其中的信息可能已经有所发展或是发生改变。

    先说一下场景:由于自己不慎,手机掉坑里,碎屏了,没法进行屏幕操作。然后,需要解绑阿里云的 MFA 。这时,新的阿里云 APP 没有 MFA ,登录不了。

    只有网页上申请解绑,(幸亏前 2 天操作过网页版,设置允许 7 天内无需 MFA 验证),也是需要 MFA 。 但是,我没有。只能走人工申诉。

    填资料,还要在阿里云 APP 上照脸,进行人脸比对。。。都人脸比对通过了才能继续网页的人工解绑申诉; 这个白痴设计,都人脸比对是本人,还要什么 MFA ?

    最神奇的是,这个人工申诉解绑的应该不是用于 MFA 的表单。里面有退款帐号,金额。估计是另外用途的。

    还得上传资料,签字的免责。。。。等 3 天。

    早知道如此,我就一直用短信验证好了。 SIM 卡坏了,到运营商营业厅换也不过个把小时的事情。

    (我试过国外一家。可以 email 验证解绑 MFA 。)

    24 条回复    2022-06-08 22:23:44 +08:00
    eason1874
        1
    eason1874  
       112 天前
    才知道这么麻烦

    还好阿里云 MFA 是通用的,设置的时候可以把二维码图片(或者扫描出文本)备份起来,下次换设备直接扫就好了
    joynvda
        2
    joynvda  
    OP
       112 天前
    昨天申请的工单回复了。
    “解绑账号 mfa 吗?查看您的账号为企业实名认证,需提供:
    1 、最新的工商营业执照副本原件的照片(请一定拍照上传,扫描件不支持受理);
    2 、《变更账号安全信息申请函》见附件,经办人签字按手印,加盖单位盖章;(请一定拍照上传,扫描件不支持受理)


    ~~~ 以后还是短信验证好了。
    hyshuang2006
        3
    hyshuang2006  
       112 天前
    体验过啦!烦到想砸电脑。
    V1Eerie
        4
    V1Eerie  
       112 天前 via Android
    不要用阿里云 app 去绑定,换谷歌或者微软的双因素验证 app 体验更佳,还能网络云备份。
    vhus
        5
    vhus  
       112 天前
    如果是企业账号千万别吧手机号弄丢了。
    别问我怎么知道的,搞了个几乎闭环的流程,提交一堆资料。
    i3x
        6
    i3x  
       112 天前 via Android
    与之相反的是形同虚设的 ip 限制。。。。。。。。。偶尔可以大部分时间我发现还是随便登陆。。只被卡过一两次。。。
    liuzhaowei55
        7
    liuzhaowei55  
       112 天前 via iPhone
    因为这种操作就是卡流程,他并不能真实校验什么,赌的就是信息获取难度。
    Eiden
        8
    Eiden  
       112 天前
    触屏失效可以 otg 接鼠标操作
    mytsing520
        9
    mytsing520  
       112 天前
    所以我是在 Authy 上绑定的阿里云的 MFA ,只要 Authy 不倒闭就可以用。至于阿里云 APP 上要做 MFA 校验,那就直接打开 Authy 取那边的值就行,虽然麻烦点
    mytsing520
        10
    mytsing520  
       112 天前
    像 STEAM 这种强关联 MFA APP 的才难搞
    nothingistrue
        11
    nothingistrue  
       112 天前
    实际上,不要轻易尝试任何没有备用解锁手段的 2FA 。开 2FA 的时候,给你的备用解锁手段,或者二维码,或者二维码代表的 Code 信息,一定要保存好,丢失了你就只能哭。如果上面的东西都丢失了,服务商还能让你轻易解锁账号,那这服务商肯定不靠谱。不开 2FA ,或者用短信验证做 2FA ,本质上是用安全性换易用性,重要账号不能这么干。

    目前最有效的 2FA 工具,是标准 TOTP 工具,例如 Keepass + Tray TOTP 插件,用这些工具再加上适当的备份措施,能让你安心的用任何标准 TOTP 方式的 2FA 验证。很有效并且还很方便的 2FA 工具,那就只有微软 Authenticator 、谷歌身份验证器,不考虑平台通用的话还可以加上苹果钥匙串。这三个大厂有很多备用方式能够定位到“你就是你”,当客户端丢失之后会让用户在找回来。小厂通常没办法定位“你就是你”,客户端丢了就丢了很难找回来(或者能随便找回来这样就没安全性了)。而像阿里这样的国内大厂,投广告防爬虫的时候,能有海量的数据定位到“你就是你”,儿童误消费退款、账号解锁的时候,或者任何处理仅对用户有利的情况的时候,哪些数据就集体失效了。
    nothingistrue
        12
    nothingistrue  
       112 天前
    @mytsing520 #10 STEAM 真不要开客户端 2FA ,那玩意的主要目的不是 2FA ,是防止账号共享,老老实实用邮件 2FA 最靠谱。
    Seanfuck
        13
    Seanfuck  
       112 天前
    可是 RAM 用户登录必须启用 MFA 或 U2F ,很操蛋
    goodryb
        14
    goodryb  
       112 天前
    解绑 MFA 这种重量级操作进行流程严格也没什么问题吧,如果很简单被别人利用了,那安全性不是更差
    dingwen07
        15
    dingwen07  
       112 天前
    @mytsing520 #10
    Steam 可以用抓包导出,部分第三方生成器支持 Steam 的代码,比如 Yubico Authenticator


    @nothingistrue #11
    目前来讲最有效的 2FA 是 WebAuthn
    zhzy0077
        16
    zhzy0077  
       112 天前
    bitwarden 也支持 Steam TOTP
    g531956119
        17
    g531956119  
       112 天前 via Android
    Keepass 的 TOTP 插件也支持 Steam ,基本用就能 Keepass+微软 Authenticator 保证便捷性和安全性
    qbqbqbqb
        18
    qbqbqbqb  
       112 天前
    @nothingistrue 微软 Authenticator 不完全是标准 TOTP 工具,还提供了微软一键认证(无密码登录)的功能,TOTP 只是顺带附带的。谷歌身份验证器现在也不太推荐使用了,主要是备份比较麻烦,而且谷歌自己现在也不主推这个 2FA 软件(谷歌账号现在需要先绑定其它 2FA 才能加绑 TOTP 为可选 2FA 登录选项)。

    手机端标准 TOTP 2FA 更推荐一些开源软件,例如 Android 平台的 AndOTP 或者 Aegis Authenticator ,这些都标配导出加密备份的功能。
    qbqbqbqb
        19
    qbqbqbqb  
       112 天前
    @dingwen07 也不必抓包,桌面端的 WinAuth 就有完整的代替 Steam 手机令牌的功能(可以直接在电脑上假装手机绑定 Steam 令牌,现在还支持交易确认),然后通过它导出 secret ,添加到手机端的第三方生成器里就可以了。
    ye4241
        20
    ye4241  
       112 天前
    华为云的也是这么麻烦的,一堆资料提交上去了,终于解绑了。。。
    Buges
        21
    Buges  
       112 天前 via Android
    其实我感觉,TOTP 2FA 最重要的作用是绕过其他 2FA 。很多网站会强制 2FA ,没有 TOTP 就得邮件、短信。对于用密码管理器的生成全随机密码同时也用密码管理器管理 TOTP 的用户而言,安全性由密码管理器本身保证,TOTP 本身没有增加任何的安全性。
    kkk123
        22
    kkk123  
       111 天前
    感谢提醒,立马改回短信了
    iphoneXr
        23
    iphoneXr  
       111 天前
    归结到底 所有的 MFA 二次验证都有这个问题,所以
    1 、凡是涉及到 mfa 的时候都要记录下 紧急恢复代码 ,用一次就废了的那种。
    2 、推荐上 bitwarden 这些密码管理软件,把 mfa 也放到云端。
    joynvda
        24
    joynvda  
    OP
       111 天前
    本人阿里云 APP 还挂了英伟达开发者的 MFA 。
    估计没有涉及金钱,简单邮件验证就可以登录。然后,关闭 MFA 。

    得到的教训是:先把流程完整走一次 - 除了激活,还有替换;如果能够接受的,就没问题。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4395 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 50ms · UTC 09:14 · PVG 17:14 · LAX 02:14 · JFK 05:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.