多因素认证MFA(Multi Factor Authentication)是一种简单有效的安全实践,在用户名和密码之外再增加一层安全保护,用于登录控制台或在控制台进行敏感操作时的二次身份验证(不影响通过AccessKey的API调用),以此保护您的账号更安全。本文将为您介绍RAM用户支持的多因素认证方式、使用说明和使用限制。
多因素认证方式
认证方式 | 描述 | 使用场景 | 相关文档 |
虚拟MFA | 基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:阿里云App、Google Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位验证码,从而避免因密码被盗而引起的非法登录。 |
| |
U2F安全密钥 | U2F(Universal 2nd Factor)是FIDO(Fast Identity Online)联盟推出的多因素认证协议,目前已被业界广泛接受。该协议旨在提供一个兼具方便性和通用性的多因素认证方式。用户只要将支持Web Authentication协议的硬件设备(称为U2F安全密钥)插入计算机的USB接口,即可在登录时通过触碰或按下设备上的按钮完成多因素认证。 |
|
本文所述的都是RAM用户的MFA认证方式,关于阿里云账号(主账号)的MFA认证方式及具体操作,请参见绑定U2F安全密钥。
使用说明
启用多因素认证并绑定多因素认证设备后,RAM用户再次登录阿里云或在控制台进行敏感操作时,系统将要求输入两层安全要素:
第一层安全要素:输入用户名和密码。
第二层安全要素:输入虚拟MFA设备生成的验证码或通过U2F安全密钥认证。
使用限制
一个RAM用户只能绑定虚拟MFA和U2F安全密钥中的一种,不能同时绑定。
虚拟MFA支持通过浏览器或阿里云App登录阿里云时使用。
U2F安全密钥的使用限制如下:
U2F安全密钥只能在拥有USB接口的计算机上使用,不支持通过移动端浏览器或阿里云App登录阿里云时使用。如果您使用虚拟机或远程桌面连接,可能也无法使用。
只有在使用域名signin.alibabacloud.com登录时,才能使用U2F安全密钥。如果您使用阿里云以前支持的signin-intl.aliyun.com域名登录,则无法使用。
只有以下浏览器版本支持Web Authentication协议,因此您只能在这些浏览器中使用U2F安全密钥:
Google Chrome 67及以上版本
Opera 54及以上版本
Mozilla Firefox 60及以上版本
说明对于Mozilla Firefox浏览器,可能需要您手动开启U2F功能。您需要在浏览器地址栏输入
about:config
,然后搜索u2f
,将security.webauth.u2f值设置为true,就可以开启浏览器的U2F功能。更多信息,请参见Mozilla Firefox帮助文档。