为什么需要MFA?多因素认证MFA(Multi Factor Authentication)是一种简单有效的安全认证机制,指要求用户提供两种或两种以上的认证因素,在登录和敏感操作等场景下,除了用户名密码的基本认证,云平台将根据安全风险等级进行二次或多次认证。
MFA的工作原理是什么?用户身份绑定多种身份认证手段,由云平台发起通过进行身份认证,具体的认证原理根据认证手段不同有所差异。
MFA有哪些实际应用?主要应用于:
登录二次认证。为防止用户名密码泄露,在用户输入密码完成一次登录认证之后,云平台发起密码之外的另一种认证方式,对访问身份进行验证。
敏感操作验证。在用户执行高风险操作,例如创建或删除云资源、变更元数据配置时,云平台发起二次认证,实时验证操作者身份。避免一些账号密码被盗、用户设备遗失等风险情况。
MFA有哪些类型?常用的多因素认证手段可以根据验证的内容分为三种类型,以下列举各类型常用的MFA认证方式:
用户知道什么
密码
个人安全问题
个人或企业实名信息:例如身份证号码、企业经营许可证编号、企业税号等。
用户有什么
手机号/邮箱:发送验证码给用户。
软件TOTP(Time-based One-Time Password):虚拟MFA设备通过TOTP技术生成一次性密码进行验证,安装在手机、电脑等设备上。常见的如Google Authenticate、Microsoft Authenticate等,阿里云APP也提供了虚拟MFA功能。
硬件验证设备:如FIDO(Fast Identity Online)联盟推出的多因素认证协议U2F,目前已被业界广泛接受。用户只要将支持Web Authentication协议的硬件设备(称为U2F安全密钥)插入计算机的USB接口,即可在登录时通过触碰或按下设备上的按钮完成多因素认证。
用户是谁:利用手机和笔记本电脑等设备的生物识别能力
指纹
人脸
阿里云如何通过MFA为您提供服务?
阿里云将MFA多因素认证用于登录控制台和敏感操作时的二次身份验证(不影响通过AccessKey的API调用),以此保护您的账号更安全。
阿里云主账号和RAM子用户均支持多因素认证,当前支持的认证方式有:
主账号:虚拟MFA、安全手机和安全邮箱,在账号相关的高风险操作时也会使用人脸扫描、实名认证信息等进展认证。详细操作指引参考如何启用MFA?
RAM子用户:虚拟MFA、U2F硬件设备、安全手机和安全邮箱(仅用于敏感操作验证)。详细操作指引参考什么是MFA。