多重身份验证(MFA)帮助组织验证公有云中的帐户和用户身份。 但是当我的MFA设备不同步时,我们应该怎么办?
多因素身份验证增加了一个额外的安全层,以验证用户的身份,包括在公有云中。 虽然它有它的优势,但可能存在管理方面的挑战,包括同步帐户和设备。
当云管理员首先为用户配置MFA时,MFA设备就与用户的云提供商帐户松散相关。 管理员通常输入设备的序列号,以及设备生成的一个或两个生认证码,以初始化同步帐户和设备。
但是,MFA设备与公有云提供商或用户帐户之间没有直接链接,因此MFA设备可能会失去同步。 如果设备被重置或按错键按,则会发生这种情况。 如果身份验证代码不同步,那么在恢复MFA之前,用户则无法登录到云提供商帐户中。
云提供商提供重新同步MFA设备的方法。 例如,Amazon Web Services(AWS)等平台使用身份和访问管理(IAM)服务来提示用户重新同步那些不再提供预期代码序列的MFA设备。然后,管理员可以使用AWS IAM控制台来查找,并选择需要重新同步的用户,导航到“Security Credentials ”选项卡中 ,然后选择“Manage MFA Device”。当MFA向导启动时,选择“Resynchronize MFA device ”,然后输入设备生成的下两个验证码。完成这一过程后,用户就能够登录到AWS上。 重新同步也可以通过AWS命令行界面、Windows PowerShell和AWS IAM API来初始化 。
其它公有云平台,如Azure和Google,他们强调基于应用的MFA要使用智能手机接收认证消息或代码。这种情况下,智能手机通常不会失去同步功能,因为它是从认证服务器接收认证码,而不是根据独立的算法简单地生成自己的代码。
MFA设备并不完美,它们可能会丢失或需要更换。不幸的是,管理员一次只能向用户分配一个MFA设备,因此不允许备用或备份MFA设备。当必须更换MFA设备时,请首先使用云提供商的管理控制台停用旧设备,然后根据云提供商的文档为该用户启用新的MFA设备。