更新时间:2025-06-09 GMT+08:00
分享

多因素认证概述

什么是多因素认证

多因素认证是一种非常简单的安全实践方法,它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后,用户进行操作时,除了需要提供用户名和密码外(第一次身份验证),还需要提供验证码(第二次身份验证),多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。

多因素认证主要应用在登录验证和操作保护中,开启了登录验证功能后,用户登录控制台时,除了需要输入用户名和密码外,还需要在登录验证页面输入验证码;开启了操作保护后,用户进行敏感操作时,需要输入验证码确认操作。

多因素认证支持的设备

多因素认证设备支持手机、邮箱、虚拟MFA和安全密钥。

  • 虚拟MFA:虚拟MFA是能产生6位数字认证码的设备,遵循基于时间的一次性密码 (TOTP)标准。基于软件的虚拟MFA,即虚拟MFA应用程序,可以在移动硬件设备(包括智能手机)上运行,非常方便。启用虚拟MFA后,当需要验证身份时,还需要输入来自MFA设备的动态验证码,从而实现双因素安全认证。
  • 安全密钥:安全密钥是基于物理设备的双因素认证,使用双因子(密码+硬件介质)保护用户的账号和隐私。华为云当前支持基于FIDO身份验证协议和Windows Hello的安全密钥。启用FIDO类型的硬件MFA(如Yubikey)后,当需要验证身份时,还需要在当前计算机中插入该设备,并触摸后进行验证。启用Windows Hello的安全密钥后,当需要验证身份时,需要提供指纹、PIN码或人脸识别进行验证。

多因素认证应用的场景

多因素认证主要应用于登录保护以及操作保护。IAM用户绑定虚拟MFA可以应用于登录保护和操作保护,而绑定安全密钥只能应用于登录保护。若开启多因素认证,则管理控制台和REST API均会受到影响。

  • 登录保护:您以及账号中的IAM用户登录时,除了在登录页面输入用户名和密码外,还需要在登录验证页面输入多因素认证设备中的验证码,再次确认登录者身份,进一步提高账号安全性。
  • 操作保护:您以及账号中的IAM用户进行敏感操作时,例如删除弹性云服务器资源,需要输入多因素认证设备中的验证码对操作进行确认,避免误操作带来的风险和损失。

更多有关登录保护和操作保护的介绍,请参见:开启或关闭敏感操作

约束与限制

  • 一个IAM用户仅支持绑定一个虚拟MFA。
  • 一个IAM用户最多支持绑定8个安全密钥。

相关文档