多因素认证概述

什么是多因素认证

多因素认证是一种非常简单的安全实践方法，它能够在用户名和密码之外再额外增加一层保护。启用多因素认证后，用户登录控制台进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码、插入硬件设备、提供指纹、PIN码或人脸识别（第二次身份验证），多因素身份认证结合起来将为您的账号和资源提供更可靠的安全保护。

多因素认证支持的设备

多因素认证设备支持虚拟MFA和安全密钥。

• 虚拟MFA：虚拟MFA是一种遵循基于时间的一次性密码算法 （TOTP）的认证方式。IAM只支持基于软件的虚拟MFA，实现了TOTP的应用程序被称为虚拟MFA设备，它们可以在移动硬件设备（例如手机）上运行，非常方便。启用虚拟MFA后，当需要验证身份时，您还需要输入来自虚拟MFA设备的动态验证码，从而实现多因素认证。
• 安全密钥：安全密钥是一种可以替代密码的更为安全的认证方式。华为云当前支持基于FIDO2身份验证协议的安全密钥，启用安全密钥后，您可以使用电脑、手机等设备自带的指纹、人脸或PIN码，以及支持FIDO2协议的安全密钥设备来完成多因素认证。例如，启用支持FIDO2协议的安全密钥（如Yubikey）后，当需要验证身份时，您需要在当前计算机中插入该设备，并触摸后进行验证；启用Windows Hello的安全密钥后，当需要验证身份时，则需要提供指纹、PIN码或人脸识别进行验证。

多因素认证应用的场景

统一身份认证服务的多因素认证主要应用在登录保护中。可以同时绑定虚拟MFA和安全密钥，认证时二选一即可。最多可以为账号根用户或IAM用户绑定1个虚拟MFA和8个安全密钥。

登录保护：您以及账号中的IAM用户登录时，除了在登录页面输入用户名和密码外，还需要在登录验证页面进行多因素认证，再次确认登录者身份，进一步提高账号安全性。

约束与限制

• 1个IAM用户仅支持绑定1个虚拟MFA。
• 1个IAM用户最多支持绑定8个安全密钥。