多因素認證MFA(Multi Factor Authentication)是一種簡單有效的安全實踐,在用戶名和密碼之外再增加一層安全保護,用于登錄控制臺或在控制臺進行敏感操作時的二次身份驗證(不影響通過AccessKey的API調用),以此保護您的賬號更安全。本文將為您介紹RAM用戶支持的多因素認證方式、使用說明和使用限制。
多因素認證方式
認證方式 | 描述 | 使用場景 | 相關文檔 |
虛擬MFA | 基于時間的一次性密碼算法(TOTP)是一種廣泛采用的多因素認證協議。在手機或其他設備上,支持TOTP的應用(例如:阿里云App、Google Authenticator等)被稱為虛擬MFA設備。如果用戶啟用了虛擬MFA設備,在用戶登錄時,阿里云將要求用戶必須輸入應用上生成的6位驗證碼,從而避免因密碼被盜而引起的非法登錄。 |
| |
U2F安全密鑰 | U2F(Universal 2nd Factor)是FIDO(Fast Identity Online)聯盟推出的多因素認證協議,目前已被業界廣泛接受。該協議旨在提供一個兼具方便性和通用性的多因素認證方式。用戶只要將支持Web Authentication協議的硬件設備(稱為U2F安全密鑰)插入計算機的USB接口,即可在登錄時通過觸碰或按下設備上的按鈕完成多因素認證。 |
| |
安全手機 | 為RAM用戶綁定安全手機號碼,通過安全手機號碼提供的驗證碼進行二次身份驗證。 |
| |
安全郵箱 | 為RAM用戶綁定安全郵箱地址,通過安全郵箱提供的驗證碼進行二次身份驗證。 | 敏感操作二次身份驗證 |
本文所述的都是RAM用戶的MFA認證方式,關于阿里云賬號(主賬號)的MFA認證方式及具體操作,請參見綁定MFA。
使用說明
啟用多因素認證并綁定多因素認證設備后,RAM用戶再次登錄阿里云或在控制臺進行敏感操作時,系統將要求輸入兩層安全要素:
第一層安全要素:輸入用戶名和密碼。
第二層安全要素:輸入虛擬MFA設備生成的驗證碼、通過U2F安全密鑰認證、輸入安全手機驗證碼或輸入安全郵箱驗證碼。
使用限制
一個RAM用戶只能綁定虛擬MFA和U2F安全密鑰中的一種,不能同時綁定。
虛擬MFA和安全手機支持通過瀏覽器或阿里云App登錄阿里云時使用。
U2F安全密鑰的使用限制如下:
U2F安全密鑰只能在擁有USB接口的計算機上使用,不支持通過移動端瀏覽器或阿里云App登錄阿里云時使用。如果您使用虛擬機或遠程桌面連接,可能也無法使用。
只有以下瀏覽器版本支持Web Authentication協議,因此您只能在這些瀏覽器中使用U2F安全密鑰:
Google Chrome 67及以上版本
Opera 54及以上版本
Mozilla Firefox 60及以上版本
說明對于Mozilla Firefox瀏覽器,可能需要您手動開啟U2F功能。您需要在瀏覽器地址欄輸入
about:config,然后搜索u2f,將security.webauth.u2f值設置為true,就可以開啟瀏覽器的U2F功能。更多信息,請參見Mozilla Firefox幫助文檔。
一個安全手機號碼允許被綁定的最大RAM用戶個數:5個。
一個安全郵箱地址允許被綁定的最大RAM用戶個數:5個。