全部产品
Search
文档中心

访问控制:多因素认证(MFA)常见问题

更新时间:Mar 07, 2024

本文为您介绍多因素认证(MFA)相关的一些常见问题。包括MFA安全码验证错误、MFA验证失败、更换MFA设备、强制启用或停用MFA验证等常见问题。

在绑定MFA页面,输入安全码后,提示安全码错误,怎么办?

  • MFA是基于时间的,您需要检查并确保手机端的时间不存在延迟或超前。

  • 手机端MFA设备上的安全码会每隔30秒更新一次,您需要确保输入的是最新的、未被使用过的安全码。

  • 当前绑定页面打开时间过长,二维码(密钥)已过期,您需要刷新页面重新扫码。

  • 如果多次打开MFA绑定页面并扫码,在手机端MFA设备上会显示相同的用户名,但实际安全码是不同的,这可能会导致验证失败。建议您在绑定前先检查手机端MFA设备,如果已存在相同用户名,则先删除再扫码,以避免混淆。

  • 尝试重新绑定MFA设备。分为以下两种情况:

    • 为阿里云账号(主账号)重新绑定MFA设备。

      1. 解绑MFA设备。

        具体操作,请参见为阿里云账号解绑MFA设备

      2. 重新绑定MFA设备。

        具体操作,请参见为阿里云账号绑定MFA设备

    • 为RAM用户重新绑定MFA设备。

      如果阿里云账号(主账号)允许RAM用户自主管理MFA设备,则RAM用户可以自主解绑和绑定MFA设备。否则,需要联系阿里云账号(主账号)或RAM管理员操作。

      1. 解绑MFA设备。

        具体操作,请参见为RAM用户解绑MFA设备

      2. 重新绑定MFA设备。

        具体操作,请参见为RAM用户绑定MFA设备

  • 当您尝试以上方法后,仍然存在问题时,您可以提交工单,同时提供绑定出错的页面截图、绑定时手机端的时间截图、待绑定的账号和操作时间点等信息。

登录验证MFA时,提示验证失败,怎么办?

  • MFA是基于时间的,您需要检查并确保手机端的时间不存在延迟或超前。

  • 检查并确保当前输入的MFA安全码是当前账号的,且是最新的、未被使用过的。

  • 如果当前的手机端MFA设备已与当前账号解绑,解绑后当前账号又重新绑定了其他手机端MFA设备,此时您需要确保从最新绑定的手机端MFA设备上获取MFA安全码。

  • 尝试重新绑定MFA设备。分为以下两种情况:

    • 为阿里云账号(主账号)重新绑定MFA设备。

      1. 解绑MFA设备。

        具体操作,请参见为阿里云账号解绑MFA设备

      2. 重新绑定MFA设备。

        具体操作,请参见为阿里云账号绑定MFA设备

    • 为RAM用户重新绑定MFA设备。

      如果阿里云账号(主账号)允许RAM用户自主管理MFA设备,则RAM用户可以自主解绑和绑定MFA设备。否则,需要联系阿里云账号(主账号)或RAM管理员操作。

      1. 解绑MFA设备。

        具体操作,请参见为RAM用户解绑MFA设备

      2. 重新绑定MFA设备。

        具体操作,请参见为RAM用户绑定MFA设备

  • 当您尝试以上方法后,仍然存在问题时,您可以提交工单,同时提供验证时手机端的时间截图、验证的账号和操作时间点等信息。

绑定了MFA设备的应用被误删除,或者手机端丢失时,怎么办?

  • 阿里云账号(主账号)的MFA:在验证身份页面,按照界面指引提交申诉。

  • RAM用户的MFA:联系阿里云账号(主账号)或RAM管理员,停用该RAM用户的MFA验证。具体操作,请参见如何停用RAM用户登录控制台时的MFA验证?

如何更换MFA设备?

当您想更换阿里云账号(主账号)或RAM用户绑定的MFA设备,例如:原来MFA设备绑定在A手机的阿里云应用上,现在想换到B手机的阿里云应用上,此时,您可以按如下操作进行。

更换阿里云账号(主账号)的MFA设备

  1. 登录RAM控制台

  2. 解绑A手机上的MFA设备。

    具体操作,请参见为阿里云账号解绑MFA设备

  3. 重新绑定B手机上的MFA设备。

    具体操作,请参见为阿里云账号绑定MFA设备

更换RAM用户的MFA设备

如果阿里云账号(主账号)允许RAM用户自主管理MFA设备,则RAM用户可以自主解绑和绑定MFA设备。否则,需要联系阿里云账号(主账号)或RAM管理员操作。关于如何设置RAM用户自主管理MFA设备,请参见管理RAM用户安全设置

  1. 登录RAM控制台

  2. 解绑A手机的MFA设备。

    具体操作,请参见为RAM用户解绑MFA设备

  3. 重新绑定B手机的MFA设备。

    具体操作,请参见为RAM用户绑定MFA设备

如何强制RAM用户登录控制台时必须使用MFA验证?

阿里云账号(主账号)或RAM管理员可以修改RAM用户的安全设置和控制台登录设置,强制RAM用户登录控制台时必须使用MFA验证。以下两种方式,您可以根据情况任选其一:

  • 要求所有RAM用户登录时都必须使用MFA

    在RAM用户安全设置中,将登录时必须使用MFA设置为强制所有用户。具体操作,请参见管理RAM用户安全设置

  • 要求指定RAM用户登录时必须使用MFA

    1. 在RAM用户安全设置中,将登录时必须使用MFA设置为依赖每个用户的独立配置

      具体操作,请参见管理RAM用户安全设置

    2. 在RAM用户控制台登录设置中,将MFA多因素认证设置为需要开启MFA认证

      具体操作,请参见创建RAM用户管理RAM用户登录设置

经过以上设置后,RAM用户登录控制台时会先要求绑定MFA设备,绑定成功后,后续登录时会要求输入MFA安全码。关于如何绑定MFA设备,请参见为RAM用户绑定MFA设备

如何停用RAM用户登录控制台时的MFA验证?

解绑MFA设备不等于停用MFA验证,如果您想停用RAM用户登录控制台时的MFA验证,您需要修改RAM用户安全设置和控制台登录设置。

  1. 使用阿里云账号(主账号)或RAM管理员修改RAM用户的安全设置。

    在RAM用户安全设置中,将登录时必须使用MFA设置为依赖每个用户的独立配置仅异常登录时使用。具体操作,请参见管理RAM用户安全设置

    • 依赖每个用户的独立配置:遵从每个RAM用户自身配置的MFA要求。您需要继续进行下一步操作。

    • 仅异常登录时使用:仅在登录地址变更、登录设备变更等登录环境不可信的情况下,强制启用MFA验证,其他情况不启用MFA验证。

  2. 使用阿里云账号(主账号)或RAM管理员修改RAM用户的控制台登录设置。

    在RAM用户控制台登录设置中,将MFA多因素认证设置为不要求。具体操作,请参见管理RAM用户登录设置