公有云：如何实现多因素认证方法

用户认证是所有公司安全战略的重要部分，确保仅仅是授权用户才能访问有价值的数据和资源。在用户名和密码之外，越来越多的企业开始使用额外的认证方法，来确认用户的身份。

多因素认证(MFA)将传统的登录证书和授权用户持有的物理设备码结合起来。MFA也扩展到了公有云上，这里未授权用户可能会破坏重要的应用，并导致巨大的云上开支。公有云供应商，包括Amazon Web Services (AWS), Microsoft Azure 和 Google Cloud Platform，都提供MFA作为云访问的第二层次认证。

MFA来自于何处?

和其他认证方法不同，MFA指的是通过物理或者虚拟设备提供的一段特定的认证码。如果用户既知道某个账号的登录证书，也有提供认证码的设备，那么该用户的身份很可能就是真的。

一系列输入源都可以生成MFA码，但是最为常见的输入源是运行着MFA应用的智能手机或者平板创建出的虚拟MFA设备。用户登录时，MFA应用在智能手机或者其他移动设备上提供授权码。运行在Android操作系统上的移动设备可以使用类似Google Authenticator 或者 Authy 2-Factor Authentication这样的应用，而Blackberry和Apple iPhone或者iPad设备可以使用Google Authenticator。

其他类型的MFA设备

其他流行的MFA设备包括密钥卡或者显示卡。密钥卡是一种无线设备，可以产生一个独特的，不可重用的密码作为认证码。显示卡，将信用卡和一个小显示屏组装在一起，也能生成一次性密码以供MFA使用。

企业需要给root账号或者个人身份和访问管理(IAM)用户账号分配MFA设备。在登录过程中，MFA设备提供基于时间生成的一次性密码算法标准的6位数数字码。用户输入认证码和常规证书，或者通过供应商的API将其传递给云供应商。