多重身份驗(yàn)證(MFA)幫助組織驗(yàn)證公有云中的帳戶和用戶身份。 但是當(dāng)我的MFA設(shè)備不同步時(shí),我們應(yīng)該怎么辦?
多因素身份驗(yàn)證增加了一個(gè)額外的安全層,以驗(yàn)證用戶的身份,包括在公有云中。 雖然它有它的優(yōu)勢(shì),但可能存在管理方面的挑戰(zhàn),包括同步帳戶和設(shè)備。
當(dāng)云管理員首先為用戶配置MFA時(shí),MFA設(shè)備就與用戶的云提供商帳戶松散相關(guān)。 管理員通常輸入設(shè)備的序列號(hào),以及設(shè)備生成的一個(gè)或兩個(gè)生認(rèn)證碼,以初始化同步帳戶和設(shè)備。
但是,MFA設(shè)備與公有云提供商或用戶帳戶之間沒(méi)有直接鏈接,因此MFA設(shè)備可能會(huì)失去同步。 如果設(shè)備被重置或按錯(cuò)鍵按,則會(huì)發(fā)生這種情況。 如果身份驗(yàn)證代碼不同步,那么在恢復(fù)MFA之前,用戶則無(wú)法登錄到云提供商帳戶中。
云提供商提供重新同步MFA設(shè)備的方法。 例如,Amazon Web Services(AWS)等平臺(tái)使用身份和訪問(wèn)管理(IAM)服務(wù)來(lái)提示用戶重新同步那些不再提供預(yù)期代碼序列的MFA設(shè)備。然后,管理員可以使用AWS IAM控制臺(tái)來(lái)查找,并選擇需要重新同步的用戶,導(dǎo)航到“Security Credentials ”選項(xiàng)卡中 ,然后選擇“Manage MFA Device”。當(dāng)MFA向?qū)?dòng)時(shí),選擇“Resynchronize MFA device ”,然后輸入設(shè)備生成的下兩個(gè)驗(yàn)證碼。完成這一過(guò)程后,用戶就能夠登錄到AWS上。 重新同步也可以通過(guò)AWS命令行界面、Windows PowerShell和AWS IAM API來(lái)初始化 。
其它公有云平臺(tái),如Azure和Google,他們強(qiáng)調(diào)基于應(yīng)用的MFA要使用智能手機(jī)接收認(rèn)證消息或代碼。這種情況下,智能手機(jī)通常不會(huì)失去同步功能,因?yàn)樗菑恼J(rèn)證服務(wù)器接收認(rèn)證碼,而不是根據(jù)獨(dú)立的算法簡(jiǎn)單地生成自己的代碼。
MFA設(shè)備并不完美,它們可能會(huì)丟失或需要更換。不幸的是,管理員一次只能向用戶分配一個(gè)MFA設(shè)備,因此不允許備用或備份MFA設(shè)備。當(dāng)必須更換MFA設(shè)備時(shí),請(qǐng)首先使用云提供商的管理控制臺(tái)停用舊設(shè)備,然后根據(jù)云提供商的文檔為該用戶啟用新的MFA設(shè)備。