多因素认证概述

什么是多因素认证

多因素认证是一种非常简单的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码（第二次身份验证），多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。

多因素认证主要应用在登录验证和操作保护中，开启了登录验证功能后，用户登录控制台时，除了需要输入用户名和密码外，还需要在登录验证页面输入验证码；开启了操作保护后，用户进行敏感操作时，需要输入验证码确认操作。

多因素认证支持的设备

多因素认证设备支持手机、邮箱、虚拟MFA和安全密钥。

• 虚拟MFA：虚拟MFA是能产生6位数字认证码的设备，遵循基于时间的一次性密码 （TOTP）标准。基于软件的虚拟MFA，即虚拟MFA应用程序，可以在移动硬件设备（包括智能手机）上运行，非常方便。启用虚拟MFA后，当需要验证身份时，还需要输入来自MFA设备的动态验证码，从而实现双因素安全认证。
• 安全密钥：安全密钥是基于物理设备的双因素认证，使用双因子（密码+硬件介质）保护用户的账号和隐私。华为云当前支持基于FIDO身份验证协议和Windows Hello的安全密钥。启用FIDO类型的硬件MFA（如Yubikey）后，当需要验证身份时，还需要在当前计算机中插入该设备，并触摸后进行验证。启用Windows Hello的安全密钥后，当需要验证身份时，需要提供指纹、PIN码或人脸识别进行验证。

多因素认证应用的场景

多因素认证主要应用于登录保护以及操作保护。IAM用户绑定虚拟MFA可以应用于登录保护和操作保护，而绑定安全密钥只能应用于登录保护。若开启多因素认证，则管理控制台和REST API均会受到影响。

• 登录保护：您以及账号中的IAM用户登录时，除了在登录页面输入用户名和密码外，还需要在登录验证页面输入多因素认证设备中的验证码，再次确认登录者身份，进一步提高账号安全性。
• 操作保护：您以及账号中的IAM用户进行敏感操作时，例如删除弹性云服务器资源，需要输入多因素认证设备中的验证码对操作进行确认，避免误操作带来的风险和损失。

更多有关登录保护和操作保护的介绍，请参见：开启或关闭敏感操作。

约束与限制

• 一个IAM用户仅支持绑定一个虚拟MFA。
• 一个IAM用户最多支持绑定8个安全密钥。