- 账号安全问题
当您的业务系统越来越多地依赖云服务(如ECS虚拟机、RDS数据库、OSS存储桶等等)时,您就会愈加担心账号安全问题。一旦账号登录密码或API访问密钥泄露,您的信息系统可能面临严重的安全威胁。保证账号安全是信息安全管理中的首要目标。
- 关于多因素认证(MFA)
多因素认证(Multi-Factor Authentication, MFA)是一种简单有效的账号安全最佳实践方法,它能够在账户名和登录密码之外再增加一层安全保护。启用 MFA之后,在您登录阿里云平台时,除了校验用户名和密码(第一安全要素),系统还会要求您提供由MFA设备产生的动态安全码(第二安全要素)。多重要素结合起来可以为您的账户提供更高的安全保护。
MFA设备通常有两种实现方式:硬件实现和软件实现。软件实现的MFA设备又被称为虚拟MFA设备,它是一种可以动态产生6位数字安全码的应用程序,遵循TOTP标准(RFC6238)。这种应用程序可在多种硬件设备(比如智能手机、智能手表、Pad、笔记本电脑)上运行,使用起来非常方便。目前阿里云账号已经对虚拟MFA设备提供了支持。
- 安装MFA应用程序
开始使用虚拟MFA之前,您需要先安装MFA应用程序。假设您打算在智能手机上安装MFA应用程序,那么您可以从相应的应用程序商店中下载并安装。由第三方提供的MFA应用程序很多,典型的有Google Authenticator,它可以支持多种类型设备而被广为使用。
- 开启多因素认证的操作方法
安装完MFA应用程序之后,你就可以使用虚拟MFA功能了。
以下三步帮你轻松开启虚拟MFA认证。
步骤1:进入虚拟MFA绑定页面
登录阿里云,进入“用户中心”-> “账号管理” -> “安全设置”,然后选择绑定“虚拟MFA”。由于此操作属于敏感操作,所以需要通过手机验证(或邮箱验证)来确认您的身份。验证通过后,您将进入“启用虚拟MFA设备”页面。
步骤2:扫码
进入“启用虚拟MFA设备”页面,该页面左侧会显示一个二维码图片。请您打开MFA应用程序(如Google Authenticator),选择“开始设置”->“扫描条形码”。
设置成功后,您在MFA应用中可以看到您的阿里云账号的动态安全码。
步骤3:确认启用虚拟MFA
您的MFA应用程序中的动态安全码每30秒变化一次。为了确认您已经安装了虚拟MFA设备,要求您提供MFA应用程序上连续出现的两组安全码。验证通过后,就成功开启了虚拟MFA。
- 开启多因素认证后的账户登录
开启虚拟MFA功能之后,当您登录阿里云时将强制进行两步验证。第1步验证您的登录名和登录密码;第2步验证您的虚拟MFA设备提供的动态安全码。只要两步验证都成功后,您才能登入阿里云。
(注解:两步验证可能会让登录体验变得繁琐。为了改进体验,我们在第2步验证中提供了 “记住这台机器,7天内无需再次验证” 的机制,您可以自主启用。如果启用,当您不改变设备登录时,7天内就可以只输入一次动态安全码)
- 使用多因素认证的注意事项
- 虚拟MFA设备是您的云账号登录的第二安全要素,它和您的登录名/密码一样重要,所以您务必要妥善保管。如果您打算卸载MFA应用程序,您需要先对账号进行虚拟MFA的解绑操作,否则您将无法登录阿里云。
- 如果您的组织对账号安全非常敏感,建议您将云账号登录密码和虚拟MFA设备分给不同的人员保管,以确保只有双方同时在场时才能登录阿里云。
- 如果您的应用场景需要多个移动设备使用同一个虚拟MFA应用,那么在“启用虚拟MFA设备”页面中,您可以让多个设备同时扫描同一个二维码,或者将二维码进行保存以供后续使用。但是您务必要安全保管二维码,一旦泄露,您的账户安全将得不到多因素认证所带来的高安全保护。