多因素认证设备

什么是多因素认证

多因素认证是一种非常简单的安全实践方法，它能够在用户名和密码之外再额外增加一层保护。启用多因素认证后，用户登录控制台进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码、插入硬件设备、提供指纹、PIN码或人脸识别（第二次身份验证），多因素身份认证结合起来将为您的账号和资源提供更可靠的安全保护。

多因素认证支持的设备

多因素认证设备支持虚拟MFA和安全密钥。

• 虚拟MFA：虚拟MFA是一种遵循基于时间的一次性密码算法 （TOTP）的认证方式。IAM只支持基于软件的虚拟MFA，实现了TOTP的应用程序被称为虚拟MFA设备，它们可以在移动硬件设备（例如手机）上运行，非常方便。启用虚拟MFA后，当需要验证身份时，您还需要输入来自虚拟MFA设备的动态验证码，从而实现多因素认证。
• 安全密钥：安全密钥是一种可以替代密码的更为安全的认证方式。华为云当前支持基于FIDO2身份验证协议的安全密钥，启用安全密钥后，您可以使用电脑、手机等设备自带的指纹、人脸或PIN码，以及支持FIDO2协议的安全密钥设备来完成多因素认证。例如，启用支持FIDO2协议的安全密钥（如Yubikey）后，当需要验证身份时，您需要在当前计算机中插入该设备，并触摸后进行验证；启用Windows Hello的安全密钥后，当需要验证身份时，则需要提供指纹、PIN码或人脸识别进行验证。

多因素认证应用的场景

统一身份认证服务的多因素认证主要应用在登录保护中。可以同时绑定虚拟MFA和安全密钥，认证时二选一即可。最多可以为账号根用户或IAM用户绑定1个虚拟MFA和8个安全密钥。

登录保护：您以及账号中的IAM用户登录时，除了在登录页面输入用户名和密码外，还需要在登录验证页面进行多因素认证，再次确认登录者身份，进一步提高账号安全性。

约束与限制

• 1个IAM用户仅支持绑定1个虚拟MFA。
• 1个IAM用户最多支持绑定8个安全密钥。

如何绑定虚拟MFA

您需要在智能设备上安装一个虚拟MFA应用程序后（例如：华为云App、Google Authenticator或Microsoft Authenticator），才能绑定虚拟MFA设备。

华为云账号和IAM用户绑定MFA后将会自动开启登录保护，并设置登录保护类型为MFA验证。IAM用户可自行在我的凭证“新版控制台”绑定虚拟MFA。

1. 登录华为云控制台，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”。
   图1 选择我的凭证
   

2. 单击右上角“体验新版控制台”，进入新版我的凭证界面。
   图2 进入新版我的凭证
   

3. 在“多因素认证设备”区域，单击“添加MFA设备”。
4. 指定MFA设备名称。仅支持大小写字母、数字或特殊字符(-_)。
5. 选择MFA设备。“设备类型”选择“虚拟MFA”，然后单击“下一步”。
6. 根据绑定虚拟MFA的页面，在您的MFA应用程序中添加虚拟MFA设备。您可以通过扫描二维码、手动输入两种方式绑定MFA设备，下面以“华为云”手机应用程序为例绑定虚拟MFA：
   • 扫描二维码

     打开手机上已安装好的“华为云”手机应用程序，选择“我的-MFA-点击+号-扫码添加”，扫描“添加MFA设备”侧边栏中的二维码。扫描成功后，“华为云”手机应用程序会自动添加虚拟MFA设备，然后虚拟MFA列表中出现账号/IAM用户名及对应的MFA动态码。

   • 手动输入

     打开手机上已安装好的“华为云”手机应用程序，选择“我的-MFA-点击+号-手动输入”。账号根用户绑定虚拟MFA，输入账号名和密钥；IAM用户绑定虚拟MFA，输入IAM用户名和密钥。单击“添加”手动添加虚拟MFA设备。

     

     手动输入添加MFA设备方式只支持基于时间模式的虚拟MFA，建议在移动设备中开启自动设置时间功能。

7. 在“华为云”手机应用程序“虚拟MFA页面”，查看虚拟MFA的动态码。动态码每30秒自动更新一次。
8. 在“添加MFA设备”页面输入连续的两组虚拟MFA动态码，然后单击“确定”，完成绑定虚拟MFA设备的操作。

如何解绑虚拟MFA

1. 在“多因素认证设备”区域，单击虚拟MFA设备“操作”列的“解绑”。
2. 在弹出的对话框中，输入“YES”。
   图3 确认解绑
   

3. 单击“确定”，完成解绑MFA操作。

如何绑定安全密钥

1. 登录华为云控制台，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”。
   图4 选择我的凭证
   

2. 单击右上角“体验新版控制台”，进入新版我的凭证界面。
   图5 进入新版我的凭证
   

3. 在“多因素认证设备”区域，单击“添加MFA设备”。
4. 指定MFA设备名称。仅支持大小写字母、数字或特殊字符(-_)。
5. 选择MFA设备。此处选择“安全密钥”。
6. 单击“下一步”。
7. 如需要设置Windows Hello的验证方式，需要在弹窗中选择验证方式（如PIN码、面孔、指纹等）。
   图6 设置Windows Hello
   
   

   如果Windows设备不支持开启人脸识别和指纹，将不会出现“面孔”、“指纹”等选项。FIDO2协议将会根据您设备支持的认证类型弹出对应的选项。

8. 输入PIN码（或识别面孔、指纹），系统认证成功后，将会出现绑定成功的提示弹窗。单击“确定”，安全密钥将出现在多因素认证设备列表中。
   图7 绑定成功
   

9. 如需要设置FIDO2类型的安全密钥，则在弹窗中选择“使用其他设备”并将安全密钥设备插入计算机USB端口。
   图8 使用其他设备
   

10. 在新的弹窗中，选择“安全密钥”，单击“下一页”。
    图9 安全密钥
    

11. 单击“确定”，确认安全密钥设置。
    图10 确认安全密钥设置
    

12. 单击“确定”，继续安装安全密钥。
    图11 继续安装安全密钥
    

13. 输入安全密钥的PIN码，单击“确定”。
    图12 输入安全密钥PIN码
    

14. 触摸安全密钥进行绑定。
    图13 触摸安全密钥
    

15. 系统认证成功后，将会出现绑定成功的提示弹窗。单击“确定”，安全密钥将出现在多因素认证设备列表中。
    图14 绑定成功
    

如何解绑安全密钥

IAM用户或账号可以在界面自助完成解绑安全密钥的操作。

1. 在“多因素认证设备”区域，单击安全密钥设备“操作”列的“解绑”。
2. 在弹出的对话框中，输入“YES”。
   图15 确认解绑
   

3. 单击“确定”，完成解绑安全密钥操作。