男人的生产力工具 篇十一：为群晖构筑第一道防线：一步一步教你为NAS启用两步验证

严峻的信息安全形势

相信不少朋友已经拥有了黑白各异的群晖NAS，既然搭建了NAS系统，说明你已经非常重视数据的安全。NAS提供最核心的网络存储和分享功能，随时响应管理员和合法用户的远程服务请求，因此必须对互联网开放，也不可避免地暴露在黑客或潜在入侵者面前。

常规的用户身份认证是通过账号系统实现的，因此获取账号密码就成了黑客入侵系统的常见手段。攻击的方式包括：通过社会工程学或钓鱼网站等手段猜测、骗取用户名和密码；根据统计结果用密码词典进行暴力破解，即依次用常见密码尝试登录；拖库，利用某一网站漏洞获取了全部账号密码的数据库，再拿到其他网站尝试登录，这一点是利用了人们为图省事，往往把同样的账号密码用来注册不同网站的心理。

针对攻击方这些常见的安全威胁，防御方设计了完善的安全机制加以防范。比如：及时发现软件漏洞，发布更新补丁；限制登录尝试次数，输错三次密码即不允许再登录，这样可以避免暴力破解；限制同一IP地址尝试登录次数；只允许可信任的终端访问；定期强制用户修改密码等等。

Synology的安全体系

我们必须理解，信息安全其实是一个系统工程，涵盖了法律、技术、管理、硬件、软件、人等方方面面。由于Synology（群晖）作为专业厂商具有强大的研发能力和知识积累，通过加入安全联盟、及时收集和发现漏洞、建立快速响应机制、在黑客社区悬赏抓bug等有效手段，建立了一个持续演化、不断改进的安全保障体系，极大地提高了NAS产品的安全等级。

用户的安全责任--自我保护

近年来，随着NAS逐渐普及、进入小型办公和家庭办公（SOHO）市场，越来越多的家庭和小微企业开始享用NAS带来的种种便利和效益。与厂商强大的安全实力呈鲜明相对的是，这些用户中的很大部分是缺乏网络知识和安全常识的。

这种情况下，黑客在尝试入侵系统的时候，出于成本考虑，首先试探攻击的必然是系统中最弱的一环--用户【1】。

为避免成为安全系统中的短板，用户就要具备基本的安全防范意识，掌握常用的账号保护技术，加强自我保护。本文将通过一个简明的教程，帮助大家为自己的群晖NAS建立第一道安全防线，抵御网上的各类安全威胁。

【注1】：用户能闹出多大笑话？请看：今年元月12日曾发出导弹来袭乌龙警报的美国夏威夷州紧急措施署，被记者拍到将写有密码的便利贴粘在显示器上。

传统账号系统的弱点

我们先来看看传统账号的弱点：

账号由用户名和密码构成，实际就是两个字符串。

用户名：一经注册固定不变，往往是公开的且容易被获取的（当前多数网站最常用的是手机号或邮箱）。

密码：虽不公开，但密码是供人记忆和使用的，人们为了方便记忆，密码不可能完全无规律【2】，常会用吉利数字、个人生日、电话号码、门牌号、车牌号、孩子或宠物名字等等来构造密码。为了省心，不少人的密码往往长期不变。

另外，即使用户具有很强的密码保护意识，但某些网站在存储用户账号密码的时候采用明文，一旦被拖库，黑客会很开心地拿这套账号数据去逐一试探其他主流网站的账号，不久前由于某邮件系统账号泄漏，导致用户Apple ID失窃，进而造成iPhone等设备被远程锁定勒索就是一例。

两个字符串，一个公开，一个脆弱，且在存储、传输、使用过程中有被窃取的可能，造成了传统账号系统本身岌岌可危。

【注2】：有密码安全管理工具是针对这一弱点，专门生成无规律乱序密码、保存自动填写密码的。本文暂不讨论。

两步验证技术简介

除了不使用常见的弱密码（666、888、520、123456、本人生日或手机号等）、经常改变密码等基本的安全常识外，还有一个重要的账号保护技术是用户必须掌握的--两步验证。

这是一个从军方和间谍领域借鉴过来的技术，是专门针对传统账号系统的弱点而开发的。两步验证技术要求登录时除输入用户名和密码外，还必须输入一个由软件自动生成的定期更新的验证码【3】。

验证码只有合法的用户端能够接收或者产生，对外不可见（无法直接通过网络窃取）。这样即使用户名和密码泄露，黑客无法获得验证码，依然无法登录。配合多次尝试登录失败后拒绝访问、同一IP多次尝试失败后锁定IP地址等安全设定，就能很好地防范密码泄露造成的安全事故【4】。

群晖NAS的安全系统，是支持两步验证技术的，这样我们就可以为群晖NAS的用户账号增加保护措施了。

【注3】：本文所述验证码，并非网页登录页面产生的用于识别人或机器的验证码，因为这种验证码直接公开显示在网页端，黑客肉眼可见，没有任何保密性可言。

【注4】：很多网银颁发给用户的电子密码器，也是使用了这一原理：电子密码器与账号绑定，由用户保管。交易时，或是用户输入网页提示的一串字符，密码器运算后产生验证码；或是密码器定期自动产生随机的验证码。

两步验证启用教程

基本思路

明白了原理之后，开通两步验证的步骤是很简单的：

一、移动端：安装谷歌身份验证器

二、服务器端：登录管理员账号，设置、启用两步验证

三、服务器端：登录普通用户帐号，设置、启用两步验证

验证码有两种获取途径：通过手机短信接收，通过软件生成。本文推荐使用后者。由此引出了一个验证码生成工具--谷歌身份验证器（Google Authenticator）。

一、移动端：安装谷歌身份验证器

谷歌出品的安全管理App，安装在移动端，当与群晖账号绑定后，每30秒钟自动生成随机的六位验证码。支持绑定多个账号，支持多数主流软件产品和网站（应该反过来说，被多数主流产品和网站采用，作为安全措施）。

验证码在本地运算产生，无需网络连接，又由于是安装在智能手机、平板电脑等移动端，用户随身携带和保管，保证了安全性和使用的便利性。

二、服务器端：登录管理员账号，设置、启用两步验证

管理员帐号的权限最大，首先必须为其启用两步验证。

1、登录账号，此时尚未启用两步验证，所以只需用户名和密码即可登录。 2、点击桌面右上角头像-个人设置。

3、进入个人设置页面，注意左下方两步验证的设置选项，此时尚未勾选，即未启用状态。

4、勾选启用两步验证后，自动弹出向导页面。

5、拿起手机，打开谷歌身份验证器，扫描此页面的二维码，以在验证器中添加该群晖帐号（也可以理解为将群晖账号绑定到验证器），识别很快，立刻就能添加，此时在手机端验证器中，就能看到新添加的账号，验证码开始每30秒更新一次。红圈中是另一种添加手段：在验证器中输入密钥。

6、上面是手动输入密钥的示例，一般情况下扫描二维码即可成功添加。

7、确认设置。身份验证器中的验证码，是否已成功设置呢？这一步要确认一下，输入手机上看到的6位数字。注：可能会提示错误，可以关闭App，再次运行，或者等待更新的验证码，再次尝试即可。

8、输入电子邮件地址，当手机丢失，无法使用身份验证器时，可以由此得到紧急验证码，是一种保险手段。注意：此处并不验证电子邮件地址是否正确，此地址默认是创建该帐户时填写的。

9、至此，我们完成了为群晖NAS管理员账号启用两步验证的过程。这是保障数据资产安全的首要步骤。

三、服务器端：登录普通用户帐号，设置、启用两步验证

管理员帐号已受到保护，下面就要为群晖NAS系统中的其他用户启用两步验证了。用户登录各自账号，按照与上面相同的步骤操作即可，此处不再重复。

四、两步验证启用后，效果的检验

退出，重新登录，输入用户名和密码后，会出现上图中的验证码输入界面，若留空或输入错误代码，都无法继续登录。说明两步验证已经在保护你的账号了。

服务器端：两步验证的关闭

不推荐关闭两步验证功能。但在极少数情况下，比如用户丢失了验证用的手机，需要重新设置时。

用户自行关闭

若用户账号正常，但由于种种原因，想关闭两步验证，可按上述步骤，由用户自己登录账号，进入用户-个人设置页面，取消两步验证的勾选即可。

管理员超越关闭

若用户账号异常（不一定是泄漏，也可能是丢失手机无法验证等原因），可登录管理员账号，按上述步骤，取消勾选即可。

注意事项

一、启用后，所有客户端访问群晖NAS均需验证码

本文举例是在PC的网页端，实际上在启用后，用户从所有客户端访问群晖NAS，均需输入验证码。比如智能手机、平板电脑、电视盒、播放器、电视机等。

若想略过此步骤，可在安全的设备上勾选“记住本设备”。注：所谓安全的设备，是指不会被别人得到控制权或使用权的设备，比如可以将家中私有的设备或者自己随身携带的手机等设为可信任的；但绝对不要在办公室、网吧等公共场合或者公用的设备上选择此项。

二、手机端删除验证码账号，不等于关闭两步验证

只能先在服务器端关闭。当心：若先在手机端删除账号，则容易导致无法登录群晖NAS。

三、保护你的个人主邮箱

个人主邮箱，是指用来注册其他网站、服务或软件账户的邮箱，常见的注册过程都是提供一个未注册的用户名、密码，填写主邮箱接收激活邮件，点击邮件中的激活链接完成注册过程。当忘记密码时，重置密码的邮件也是默认发往主邮箱，点击重置链接即可修改密码。

大家的习惯往往是用一个常用的主邮箱在多个网站注册账户，很明显，主邮箱相当于一把超级钥匙。如果主邮箱的密码泄露了，在有心的攻击者手中，你的所有账户实际上已经没有任何安全保障。

因此，在保护群晖NAS之前，首先要做的是保护你的个人主邮箱，首选的保护手段？本文依然推荐：启用两步验证，方法和步骤都类似，不再重复。

总结

两步验证已经是公认的低成本高强度账号保护技术，被谷歌、群晖、苹果等主流厂商所支持和采用。对于广大NAS用户，启用两步验证，是为NAS构筑的第一道防线，是紧迫且必要的。

感谢各位客官阅读至此，敬请多多点赞、收藏！若有疑问，欢迎在评论中指导、交流，谢谢！

进一步的数据保护措施，参见系列原创教程：

男人的生产力工具 篇三：一步一步教你用群晖搭建安全高效省心的同步环境#2017剁手回忆录#群晖、博世和Wacom：男人的装备集#2017剁手回忆录#群晖、博世和Wacom：男人的装备集...小编注：文章来自#2017剁手回忆录#征稿活动，不会写装修？不会写选购攻略？不！存！在！只要你能写你就来，再放大招...lifeisgood| 赞333 评论390 收藏4k查看详情

男人的生产力工具 篇四：为SOHO创建安全放心的私有云：手把手教你为群晖搭建低成本公共云同步服务男人的生产力工具篇三：一步一步教你用群晖搭建安全高效省心的同步环境男人的生产力工具篇三：一步一步教你用群晖搭建安全高效省心的同步环...#2017剁手回忆录#群晖、博世和Wacom：男人的装备集#2017剁手回忆录#群晖、博世和Wacom：...lifeisgood| 赞123 评论130 收藏1k查看详情

男人的生产力工具 篇六：将同步进行到底：教你轻松搭建Dropbox与群晖双同步环境前言男人的生产力工具篇三：一步一步教你用群晖搭建安全高效省心的同步环境男人的生产力工具篇三：一步一步教你用群晖搭建安全高效省心的同步环...#2017剁手回忆录#群晖、博世和Wacom：男人的装备集#2017剁手回忆录#群晖、博世和Waco...lifeisgood| 赞21 评论48 收藏233查看详情