備用代碼 (Backup codes)

概念

備用代碼（又稱為恢復代碼，Recovery code）是一種一次性使用的多重要素驗證 (MFA, Multi-factor authentication) 備援代碼，當使用者的主要驗證因素（如驗證器應用程式或硬體權杖）無法使用時，可作為備用方案。

遺失備用代碼可能導致帳號恢復困難。因此，建議在啟用備用代碼前，先設定額外的主要驗證因素，並將其設為優先。

Logto 會在使用者設定額外驗證因素後，自動產生 10 組備用代碼。每組代碼僅能使用一次。建議使用者在現有代碼即將用盡前，於使用者帳號設定（可透過 Management API 存取）中重新產生新的一組代碼。

為 MFA 設定備用代碼

1. 前往 主控台 > 多重要素驗證 (Multi-factor authentication)
2. 啟用「備用代碼 (Backup Codes)」因素。備用代碼不能作為唯一的 MFA 因素，必須與其他主要 MFA 因素（通行密鑰、驗證器應用程式、簡訊、電子郵件）搭配使用。
3. 設定你偏好的 MFA 政策（必填或選填）
4. 儲存設定變更

設定備用代碼管理

你可以使用 Account API 建立自訂帳號管理介面，讓使用者檢視、重新產生及移除其備用代碼。如此一來，使用者可直接在你的應用程式帳號設定中管理其恢復選項。

詳細實作步驟與 API 端點，請參閱 透過 Account API 管理帳號設定。

備用代碼設定流程

由於備用代碼屬於次要 MFA 因素，僅能在成功設定主要 MFA 因素後啟用。系統會自動產生 10 組備用代碼並顯示給使用者，使用者可安全下載與複製。使用者必須手動確認備用代碼，才能完成 MFA 設定流程。

備用代碼驗證流程

備用代碼可在主要 MFA 因素無法使用時，作為緊急驗證方式。每組代碼僅能使用一次，驗證成功後即失效。

驗證優先順序：

• 優先提示主要因素：當使用者已設定其他 MFA 因素時，系統會優先提示主要因素（通行密鑰、TOTP、簡訊、電子郵件）。
• 切換至備用代碼：若主要因素無法使用，使用者可點擊「嘗試其他驗證方式」切換至備用代碼。
• 最後備援情境：若所有主要因素皆已刪除，備用代碼將成為唯一驗證選項。使用備用代碼於登入時成功通過 MFA 驗證後，Logto 會自動提示使用者設定新的主要因素。