多重身份驗證(MFA)幫助組織驗證公有云中的帳戶和用戶身份。 但是當(dāng)我的MFA設(shè)備不同步時,我們應(yīng)該怎么辦?
多因素身份驗證增加了一個額外的安全層,以驗證用戶的身份,包括在公有云中。 雖然它有它的優(yōu)勢,但可能存在管理方面的挑戰(zhàn),包括同步帳戶和設(shè)備。
當(dāng)云管理員首先為用戶配置MFA時,MFA設(shè)備就與用戶的云提供商帳戶松散相關(guān)。 管理員通常輸入設(shè)備的序列號,以及設(shè)備生成的一個或兩個生認證碼,以初始化同步帳戶和設(shè)備。
但是,MFA設(shè)備與公有云提供商或用戶帳戶之間沒有直接鏈接,因此MFA設(shè)備可能會失去同步。 如果設(shè)備被重置或按錯鍵按,則會發(fā)生這種情況。 如果身份驗證代碼不同步,那么在恢復(fù)MFA之前,用戶則無法登錄到云提供商帳戶中。
云提供商提供重新同步MFA設(shè)備的方法。 例如,Amazon Web Services(AWS)等平臺使用身份和訪問管理(IAM)服務(wù)來提示用戶重新同步那些不再提供預(yù)期代碼序列的MFA設(shè)備。然后,管理員可以使用AWS IAM控制臺來查找,并選擇需要重新同步的用戶,導(dǎo)航到“Security Credentials ”選項卡中 ,然后選擇“Manage MFA Device”。當(dāng)MFA向?qū)訒r,選擇“Resynchronize MFA device ”,然后輸入設(shè)備生成的下兩個驗證碼。完成這一過程后,用戶就能夠登錄到AWS上。 重新同步也可以通過AWS命令行界面、Windows PowerShell和AWS IAM API來初始化 。
其它公有云平臺,如Azure和Google,他們強調(diào)基于應(yīng)用的MFA要使用智能手機接收認證消息或代碼。這種情況下,智能手機通常不會失去同步功能,因為它是從認證服務(wù)器接收認證碼,而不是根據(jù)獨立的算法簡單地生成自己的代碼。
MFA設(shè)備并不完美,它們可能會丟失或需要更換。不幸的是,管理員一次只能向用戶分配一個MFA設(shè)備,因此不允許備用或備份MFA設(shè)備。當(dāng)必須更換MFA設(shè)備時,請首先使用云提供商的管理控制臺停用舊設(shè)備,然后根據(jù)云提供商的文檔為該用戶啟用新的MFA設(shè)備。
京公網(wǎng)安備 11010502049343號