身份验证错误

“凭据无效”、MFA 验证码被拒,或修改密码后突然无法登录?请按顺序完成以下步骤——时钟偏差(第 2 步)是最常见的隐藏原因。

Advertisement · 728×90
🔑

身份验证错误

VPN、应用程序或网络共享中出现的登录失败、MFA 问题和凭据错误

⚠ 常见症状

  • 登录时出现“身份验证失败”、“凭据无效”或“拒绝访问”
  • MFA 验证码生成正确,但仍被拒绝
  • 使用相同凭据在一台设备上可以登录,但在另一台设备上不行
  • 在修改密码或策略更新后突然开始登录失败
  • 1

    在已知可正常使用的界面上验证凭据

    在更改任何设置之前,先通过浏览器(而不是应用程序)登录该账户。

    个人账户(Google、Microsoft、银行等):使用相应服务商的登录页面 → 如有需要,走密码找回流程。

    工作账户:改为登录公司网页门户/网页邮箱 → 如果仍然失败,个人账户可使用服务商的自助重置功能,工作账户请联系 IT 部门。

  • 2

    同步系统时钟——时钟偏差会导致身份验证失败

    Kerberos 以及基于 TOTP 的 MFA 都要求系统时间与服务器时间的误差在 5 分钟以内——一旦偏差达到 6 分钟,即使凭据有效也会被拒绝。在 Windows 上,打开提升权限的命令提示符 → 运行:

    w32tm /resync /force

    在 Mac 上:系统设置 → 通用 → 日期与时间 → 启用“自动设置”。

  • 3

    重新注册 MFA 身份验证器应用

    验证码看起来有效却仍被拒绝 = 身份验证器应用的时钟发生了偏差。Google Authenticator:设置 → 验证码时间校正 → 立即同步。Microsoft Authenticator:会自动同步,但重新安装并重新添加账户是最可靠的修复方法。

  • 4

    从 Windows 凭据管理器中清除已保存(缓存)的凭据

    过期的缓存凭据会覆盖你在登录时输入的内容。打开控制面板 → 凭据管理器 → Windows 凭据 → 删除你要访问的系统对应的条目(查找服务器/应用名称)→ 重新尝试登录。

  • 5

    检查证书或 TLS 问题

    部分身份验证失败实际上是 TLS 握手失败,却被误报为凭据错误——请查看应用程序的错误详情,是否有证书过期/不受信任的警告。

    工作设备:通常是公司 SSL 检测代理上的根证书已过期 → 需要由 IT 部门更新。

    个人设备:通常是 Windows 或杀毒软件需要更新,或杀毒软件在进行自身的 SSL 扫描 → 请更新两者,或暂时禁用杀毒软件的 HTTPS 扫描功能。

  • 1

    在已知可正常使用的界面上验证凭据

    打开 Safari → 直接通过浏览器(而不是应用程序)登录。

    个人账户(Google、Microsoft、银行等):使用相应服务商的登录页面 → 如有需要,走密码找回流程。

    工作账户:改为登录公司网页门户/网页邮箱 → 如果仍然失败,个人账户可使用服务商的自助重置功能,工作账户可使用公司自助工具或联系 IT 部门——在进行任何本地更改之前先完成此步骤。

  • 2

    同步系统时钟——时钟偏差会导致身份验证失败

    Kerberos 以及基于 TOTP 的 MFA 都要求你 Mac 的时钟与服务器时间的误差在 5 分钟以内。启用系统设置 → 通用 → 日期与时间 → 自动设置日期与时间 → 如需立即重新同步,请打开终端并运行:

    sudo sntp -sS time.apple.com
  • 3

    重新注册 MFA 身份验证器应用

    验证码看起来正确却仍被拒绝 = 身份验证器应用的时钟发生了偏差。Google Authenticator:设置 → 验证码时间校正 → 立即同步。

    Microsoft Authenticator:会自动同步,但如果验证码持续被拒绝,最可靠的修复方法是重新安装,并通过公司的 MFA 注册门户重新添加你的工作账户。

  • 4

    从 macOS 钥匙串中删除过期凭据

    macOS 会将已保存的密码/令牌存储在钥匙串中——修改密码之前的旧条目会在你登录时悄悄覆盖你输入的内容。

    打开钥匙串访问(Spotlight → 钥匙串访问)→ 搜索服务器主机名/应用名称/公司域名 → 删除早于你上次修改密码的条目,或看起来重复的条目 → 重新尝试登录。macOS 会提示你输入新的凭据。

  • 5

    检查证书或 TLS 错误

    部分身份验证失败实际上是 TLS 握手错误,却被误报为“密码错误”。在 Safari 中,点击证书警告上的显示详细信息 → 查看颁发者和到期日期。

    工作用 Mac:通常是公司 SSL 检测代理的根证书已过期 → 需要由 IT 部门更新。

    个人 Mac:通常是 macOS 本身需要更新,或第三方安全软件在进行自身的 SSL 扫描。也可以在钥匙串访问 → 系统钥匙串 → 证书中查看是否有已过期/不受信任的证书。

  • 1

    在已知可正常使用的界面上验证凭据

    # Test login via curl (e.g. check web portal response)
    curl -v -u username:password https://your-company-portal.com

    # Test Kerberos ticket (if using Active Directory)
    kinit username@DOMAIN.COM
    klist
  • 2

    同步系统时钟

    # Check current time and NTP sync status
    timedatectl status

    # Enable automatic NTP sync
    sudo timedatectl set-ntp true

    # Force immediate sync
    sudo systemctl restart systemd-timesyncd
    timedatectl show-timesync --all

    Kerberos(企业 Active Directory 环境)要求时钟与服务器时间的误差在 5 分钟以内。

  • 3

    重新同步 MFA 身份验证器应用

    Google Authenticator:打开应用 → 三点菜单 → 验证码时间校正 → 立即同步Microsoft Authenticator:如果验证码看起来有效却仍被拒绝,最可靠的修复方法是重新安装并重新添加账户。

  • 4

    从密钥环中清除已保存的凭据

    # List and delete stale credentials (GNOME Keyring)
    sudo apt install seahorse -y
    seahorse

    # Or clear Kerberos ticket cache
    kdestroy

    # Clear NTLM/SMB cached credentials
    rm -rf ~/.local/share/keyrings/*.keyring

    在 Seahorse(密码和密钥)中:密码 → 登录 → 删除你无法登录的系统所对应的条目。

  • 5

    检查证书或 TLS 问题

    # Test SSL/TLS handshake and certificate chain
    openssl s_client -connect your-server.com:443 -showcerts

    # Update CA certificates if corp root CA is expired
    sudo update-ca-certificates

    # Add a corporate root CA to the trusted store
    sudo cp corp-root-ca.crt /usr/local/share/ca-certificates/
    sudo update-ca-certificates
💡

快速检查:如果相同的凭据在手机上可以正常使用,但在笔记本电脑上却失败,问题几乎总是出在笔记本电脑本身的时钟偏差或缓存凭据上——请从第 2 步和第 4 步开始排查。

Advertisement · 728×90

相关问题

针对此问题的快速解答

首先直接登录公司门户,确认你的密码是否正确。如果你的账户使用了 MFA,请确保身份验证器应用的时间已同步。时钟偏差也是导致身份验证错误的常见原因——请在日期/时间设置中启用“自动设置时间”。如果你遇到的具体是 VPN 问题,也可以参阅我们的VPN 指南
有三个常见但不易察觉的原因:(1)系统时钟误差超过 5 分钟,导致 Kerberos 和基于 TOTP 的 MFA 拒绝有效凭据。(2)设备中的 Windows 凭据管理器存有过期的缓存凭据,覆盖了你输入的内容。(3)你的电脑与身份验证服务器之间的 TLS/SSL 证书不匹配,被系统报告为登录失败。在重置密码之前,请先逐一检查这三种情况。
这指向的是第 5 步——一个 TLS/证书问题,而不是凭据错误。这种情况常见于使用 SSL 检测代理的公司网络;如果该代理的证书已过期或未被你的设备信任,每次 HTTPS 登录都可能出现具有误导性的“身份验证”错误。这也与我们的网站被屏蔽指南有所重叠,该指南介绍了屏蔽页面之前出现证书警告的情况。
🧑‍💻

仍然无法登录?技术人员可以帮你检查那些你无法访问的部分。

组策略、证书存储和身份提供商日志通常需要 IT 级别的管理员权限才能进行诊断。可联系经过认证的技术人员获取远程支持。

联系技术人员
Advertisement · 728×90