多因素认证概述

什么是多因素认证

多因素认证Multi-Factor Authentication（MFA）是一种非常简单的安全实践方法，它能够在用户名称和密码之外再额外增加一层保护。启用多因素认证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要提供验证码（第二次身份验证），多因素身份认证结合起来将为您的账号和资源提供更高的安全保护。

IAM身份中心的多因素认证主要应用在登录验证中，开启了登录验证功能后，用户登录控制台时，除了需要输入用户名和密码外，还需要在登录验证页面输入多因素认证设备中的验证码，再次确认登录者身份，进一步提高账号安全性。

多因素认证支持的设备

IAM身份中心当前支持如下多因素认证设备：

• 身份验证器应用程序：

  即虚拟MFA设备。虚拟Multi-Factor Authentication (MFA) 是能产生6位数字认证码的设备，遵循基于时间的一次性密码 （TOTP）标准。MFA设备可以基于硬件也可以基于软件，目前仅支持基于软件的虚拟MFA，即虚拟MFA应用程序，可以在移动硬件设备（包括智能手机）上运行，非常方便。

• 安全密钥：

  安全密钥是兼容FIDO2的外部硬件身份验证器，您可以购买并通过USB、BLE或NFC连接到设备。当您被提示输入MFA时，您只需通过触摸YubiKey等硬件安全密钥来验证身份即可。安全密钥包括YubiKey等密钥，最常见的安全密钥包括YubiKey等会创建一个设备绑定的FIDO凭证。

  FIDO2是基于公钥密码学的标准，它包含了CTAP2和WebAuthn标准。FIDO凭证具有防网络钓鱼功能，因为它对于网站来说具有唯一性。