云上资产的安全相信是每一个用云客户都非常重视的课题,然而在努力做好网络安全、数据安全防护的时候,最基础的账号凭证安全却常常被忽略。因客户保管不当导致用户的控制台登录密码泄露,很可能会被黑灰产盯上,发生盗用账户资金创建大量资源挖矿、删除用户数据进行勒索等安全的事件,严重威胁用户和平台的安全。绝大多户的账密盗用可以通过登录时的二次验证拦截。而至今为止发生的类似事件中,几乎所有被盗用的用户都没有开启多因素认证,并且有相当一部分已经收到了阿里云平台发送的异常登录、AK泄露、异常调用等安全通知提醒,却没有引起重视。同时,开启多因素认证也有助于您的企业通过各项安全标准和法规的要求,例如等保三级标准、PCI-DSS数据安全标准。
阿里云一直致力于提升云服务的安全性,并尽最大努力支持您更好地保护您的账户及资产安全。因此,2024年8月20日开始RAM访问控制产品将陆续为所有用户开启登录时强制进行MFA多因素认证。在8月20日之前,我们强烈建议您提前主动开启强制MFA多因素认证,并尽快地通知所有子用户绑定MFA认证设备,避免登录被阻断。
什么是MFA多因素认证
多因素认证MFA(Multi Factor Authentication)是一种简单有效的安全实践,在用户名和密码之外再增加一层安全保护,用于登录控制台或进行敏感操作时的二次身份验证(不影响通过AccessKey的API调用),以此保护您的账号更安全。
简单地说就是在登录输入密码认证之后,再使用另一种有效的认证手段进行第二次的身份验证。两重凭证同时丢失的可能性较低,尤其是采用与个人绑定的多因素认证设备,如手机或硬件设备。
选择MFA多因素认证的方式
很多用户不愿意启用多因素认证,是因为嫌虚拟MFA设备绑定和验证的过程比较麻烦,因此阿里云也提供了手机短信作为更便捷的认证方式。希望您充分重视凭证的安全,花不到一分钟进行一次登录验证的“麻烦”可以防止资产损失。
阿里云支持的多因素认证方式:
认证方式 |
描述 |
使用场景 |
相关文档 |
虚拟MFA |
基于时间的一次性密码算法(TOTP)是一种广泛采用的多因素认证协议。在手机或其他设备上,支持TOTP的应用(例如:阿里云App、Google Authenticator等)被称为虚拟MFA设备。如果用户启用了虚拟MFA设备,在用户登录时,阿里云将要求用户必须输入应用上生成的6位验证码。 |
● 登录控制台二次身份验证 ● 敏感操作二次身份验证 |
|
U2F安全密钥 |
U2F(Universal 2nd Factor)是FIDO(Fast Identity Online)联盟推出的多因素认证协议,目前已被业界广泛接受。该协议旨在提供一个兼具方便性和通用性的多因素认证方式。用户只要将支持Web Authentication协议的硬件设备(称为U2F安全密钥)插入计算机的USB接口,即可在登录时通过触碰或按下设备上的按钮完成多因素认证。 |
● 登录控制台二次身份验证 ● 敏感操作二次身份验证 |
|
安全手机 |
为RAM用户绑定安全手机号码,通过安全手机号码提供的验证码进行二次身份验证。 |
● 登录控制台二次身份验证 ● 敏感操作二次身份验证 |
|
安全邮箱 |
为RAM用户绑定安全邮箱地址,通过安全邮箱提供的验证码进行二次身份验证。 |
敏感操作二次身份验证 |
如何开启MFA多因素认证
账号安全设置
首先,云账号可以在RAM访问控制的安全设置中,对账号下全部的RAM用户要求登录时必须使用MFA,通过账号级的配置起到对所有用户强制约束的作用,避免用户漏绑。
- 使用阿里云账号或RAM管理员登录RAM控制台。
- 在左侧导航栏,选择身份管理 > 设置。
- 在安全设置页签的用户安全设置区域,单击修改用户安全设置。
- 将配置项中的登录时必须使用MFA,设置为强制所有用户。
- 同时在配置项中多因素认证手段下,勾选允许手机作为多因素认证手段,绑定和验证流程较为便捷。
为RAM用户绑定MFA
有RAM相关权限的管理员,可以在RAM用户的详情页为用户绑定MFA验证设备。
RAM用户自行绑定MFA
若企业允许员工自行管理MFA多因素设备,则可以进行以下设置:
- 使用阿里云账号或RAM管理员登录RAM控制台。
- 在左侧导航栏,选择身份管理 > 设置。
- 在安全设置页签的用户安全设置区域,单击修改用户安全设置。
- 将配置项中的自主管理MFA设备,设置为允许。
接下来RAM用户在登录进行密码验证后,会被要求绑定MFA设备。在登录控制台后点击右上角头像,打开个人安全信息页,也可在该页面自行管理MFA验证设备。
阿里云强制开启MFA验证会产生什么效果
● 8月20日起,逐步上线强制MFA规则后,若您的账号在RAM访问控制用户安全设置的配置项登录时必须使用MFA选择的是依赖用户独立配置或仅异常登录时使用,变更生效时该配置项的值将被切换到强制所有RAM用户。
○ 原配置已选择强制所有用户的,无变化继续保持该值。
○ 原配置选择依赖独立配置、仅异常登录时使用的,命中发布名单后将被强制切换到强制所有用户。
用户侧的效果:
命中的账号下,全部RAM用户登录时必须验证MFA(主推安全手机)之后才能访问控制台,未绑定验证手段的用户会进入安全手机绑定流程。RAM用户绑定MFA之后,每次登录都会进行二次验证。
若不接受该策略,需要RAM管理员(或主账号)主动将用户安全配置修改调整。
● 默认开启所有多因素认证手段:多因素认证手段开启手机、邮箱认证手段。
用户侧的效果:
用户登录时要求进行MFA绑定,首先推荐手机短信验证方式,也可以选择虚拟MFA和U2F。
若不接受该验证方式,RAM管理员(或主账号)可以取消勾选。
● 变更生效后,有RAM访问控制权限的管理员可以切换登录时必须使用MFA配置,但建议您充分评估密码泄露的安全风险后再做切换。若通过控制台切换该配置,将会有明确的风险提示,确认接受不绑定MFA将无法拦截异常登录的风险。同时2024年8月20日上午10:00将发布以下新规则。
○ 切换到仅在异常登录时验证:原本该选项选择后只会在异常登录时要求绑定,本次发布变更后,选择该选项后将强制账号内所有RAM用户绑定MFA,以保证在异常登录时已有设备可以进行验证。验证的规则不变,只在异常时触发验证。
用户侧效果:
一旦切换配置生效,账号下所有RAM用户在登录时会被要求绑定MFA,绑定之后不会每次都验证,只会在命中风控异常登录时要求二次验证。
○ 切换到依赖用户独立配置:原有RAM用户登录配置不会丢失。
○ 上线新规则强制所有授予Administrator管理员权限的RAM用户必须绑定MFA设备并进行登录时的二次验证,此类用户登录设置中的MFA 多因素认证配置项无效。
用户侧效果:
一旦切换配置生效,Administrator用户在登录时若未绑定MFA会强制进入MFA绑定流程,并且在今后登录时都将进行MFA验证,此后新授予Administrator的用户都执行此规则。
关于强制MFA认证的若干疑问解答
是否可以对部分用户例外不绑定MFA验证?
● 只要有密码存在就可能会有泄露的风险,强烈建议对所有用户要求MFA验证,安全手机的绑定和验证都比较方便。https://help.aliyun.com/zh/ram/user-guide/bind-an-mfa-device-to-a-ram-user-1?spm=a2c4g.11186623.0.0.6588419c9ClPgU#section-xfo-hq6-ie6
● 坚持有部分用户不愿意每次登录验证MFA的,可以在强制切换之后主动改变MFA配置到“仅异常登录时使用”。该配置将要求所有用户绑定MFA设备,但只在异常时需要验证。
● 强制切换后,也可以主动改变配置到“依赖用户独立配置”。选择该配置表示您已充分了解并愿意承担用户密码泄露导致的安全风险。建议您设置控制台登录掩码,限制人员只能在企业可信网络环境内访问阿里云控制台。
能否在发布之前拒绝接受变更?
抱歉不可以。
开启MFA是阿里云平台为提升客户数据安全及阿里云平台安全决定的策略。由于用户未能充分重视登录凭证的安全,导致屡次发生泄露导致资损、数据泄露等事件,即使是用户管理能力很强的客户也不能完全避免密码被盗用。因此决定主动升级客户MFA配置,强制MFA能有效地阻止账号盗登。MFA认证也是全球业界强力推荐的密码保护措施,建议您重视凭证安全开启MFA。为了更好地保护您在云上的资源和数据安全,阿里云希望通过本次变更促进用户启用MFA登录验证,希望您充分评估安全风险开启MFA验证。
本次变更将会同时发布“仅异常登录时使用”和“依赖用户独立配置”两项新的规则(详见公告)、若坚持不接受强制MFA的,请在您的账号变更生效之后再切换配置,确认您已充分评估风险且知晓新规则生效。
特殊情况不能绑定MFA怎么办?
有一些可能的原因
● 企业不允许使用个人手机绑定工作账号,或个人不希望使用自己的手机绑定工作账号。企业选择虚拟MFA设备或U2F硬件设备,条件实在不允许的,充分确认风险后可以将配置切换到依赖用户独立配置。强烈建议设置登录掩码限制人员只能在企业可信网络环境内访问阿里云控制台,同时设置更高的密码强度和90天以内的密码有效期,保证定期更新密码。参考文档设置密码策略
● 企业内目前是多人共用账号,无法绑定一个人的认证设备或手机号。首先最佳安全实践强烈不建议多人共用账号,掌握密码信息的人过多且人员离职时密码会携带走,会导致密码更易泄露,同时审计无法区分实际操作者等安全风险。建议为每个人员分配一个独立的用户。短期不能拆分的,可以绑定多个MFA验证设备。
● 我没有其他有权限的RAM用户,又不能绑定MFA,无法登录了怎么办?可以使用主账号或通过程序访问修改RAM配置。
● 采用模拟登录的方式集成了阿里云用户登录,没有集成MFA验证流程。请尽快修改登录方式,改为标准的阿里云用户登录方式。
● 已设置登录IP白名单/登录掩码,可以控制访问在公司可信环境内执行。仍然建议您要求用户开启MFA多因素认证,做好基本防护。若您确认可以管理好企业的可信网络,可以在强制切换后主动修改配置为不要求MFA验证。
我的账号什么时候会被切换?
在账号确认切换时间后,我们会提前2周发送邮件提醒正式切换时间,且提前两周起账号下所有RAM用户在每次用户名密码登录时都会看到提醒。
感谢您的关注,再次恳请您重视并主动开启MFA多因素认证,阿里云与您一起守护云上资产安全。