# 两步验证（2FA）功能概览

两步验证（Two-Factor Authentication，2FA）是一种额外的安全层，用于保护您的 EMQX Cloud 子账号。启用两步验证后，除了用户名和密码外，您还需要输入由身份验证器应用生成的验证码才能登录。

## 重要说明

- [子账号](./user.md#子账号角色体系)必须处于可用状态才能配置两步验证。配置完成后，每次登录都需要输入验证码。
- 已经配置过两步验证的用户无法再次设置。
- 请妥善保管您的验证器应用。子账号无法自行删除或重置两步验证，如需删除，请联系主账号管理员。
- 仅主账号有权删除两步验证设置。子账号用户即便拥有管理员权限，也无法执行此操作。
- 启用了 [SSO（单点登录）](./sso_overview.md)功能的账户无法开启两步验证功能。

## 为主账号用户配置两步验证

主账号用户可以通过邮箱验证码或移动身份验证器应用来启用两步验证以提升账户安全性。

1. 使用主账户登录 EMQX Cloud 控制台。
2. 在左侧菜单中点击**设置**。
3. 选择**账户安全**标签页，并点击**密码与身份验证**卡片，系统将跳转至账户设置页面。
4. 在页面中找到**两步验证**部分，选择您偏好的验证方式：
   - **邮箱验证码**：一次性验证码将发送至您的账户邮箱。
   - **短信验证码**：一次性验证码将发送至您的手机。
   - **身份验证器应用**：使用 Google Authenticator、Microsoft Authenticator 等应用扫描二维码。

点击**启用**，根据页面提示完成配置流程。

> 建议配置完成后立即尝试登录，以确保身份验证器应用正常工作。

启用两步验证后，可通过点击右上角**我的账户**菜单中的 **Cloud 控制台**返回控制台。

## 为子账号用户配置两步验证

1. 打开**子账号登录页面**，使用子账户登录。
2. 在左侧菜单中点击**设置**。
3. 选择**两步验证**。
4. 根据页面提示完成配置流程。

> 建议配置完成后立即尝试登录，以确保身份验证器应用正常工作。

## 验证器丢失处理

如果子用户丢失了验证器应用，请按以下步骤处理：

1. 联系主账号管理员。
2. 主账号管理员在用户管理页面找到对应的子账号。
3. 在操作列点击**删除两步验证**选项。
4. 删除成功后，子用户可以重新配置两步验证。

## 注意事项

- 请确保在配置两步验证时使用可靠的网络连接。
- 建议在多个设备上保存验证器应用的备份。
- 定期检查验证器应用是否正常工作。
- 如果更换手机或卸载验证器应用，请确保提前联系主账号管理员处理。