双因子认证

一、 什么是 双因子认证 双因子认证，也称为双因素认证，是指使用两种独立不相干的证据来证明当前用户身份。通常而言，我们登录一个IT系统的首选认证方式是用户名和密码，但显然，单靠用户名和密码是不够的，我们还希望同时验证用户另外一种独立不相干的证据，当这两种都匹配时，我们才认为用户的身份验证成功，这就是双因子认证的典型用户场景。 二、 双因子认证在行云管家中的应用场景 场景一：当用户登录行云管家门户时，可以设置强制用户每次登录都要进行双因子认证，也可以让系统默认在某些敏感操作时刻才进行双因子认证（如用户异地登录时）； 场景二：当用户在设置主机运维策略时，针对主机的一些敏感操作，一旦某个敏感操作触发了双因子认证且用户成功认证后，会在后续一定时间内（可配置，默认30分钟）不再触发双因子认证以避免影响用户操作体验。 三、 双因子认证在行云管家中的三种认证方式 行云管家支持以下三种双因子认证方式，三种方式可任选其一或多种并存。 方式一：手机短信验证码 手机短信认证方式是最容易理解，前提是用户需要在行云管家门户中绑定自己的手机号。一旦触发双因子认证，行云管家会向用户的手机推送一条验证码，用户需要在5分钟之内在行云管家门户中输入正确的验证码，才能够完成认证。 使用手机短信验证码的前提是需要在行云管家中开启短信网关。 方式二：OTP动态口令 OTP原意是指动态口令（One-Time Password），在行云管家中被特指为一种基于时间同步的动态口令生成算法，一旦开启基于OTP的双因子认证，用户需要在行云管家的个人资料中激活OTP动态令牌。 方式三：第三方应用（微信、钉钉、企业微信） 行云管家支持的第三方应用最主要有：微信公众号、钉钉、企业微信等。 一旦触发双因子认证，行云管家会向用户的手机应用推送一条验证码，用户需要在5分钟之内在行云管家门户中输入正确的验证码才能够完成认证。 使用第三方应用验证码的前提是需要在行云管家管理控制台中配置第三方应用，用户在行云管家门户的个人资料中绑定第三方应用。 四、三种双因子认证方式的对比： 手机短信验证码、OTP动态口令、第三方应用验证码三种双因子认证方式在配置复杂度和使用成本上的对比如下图所示： 通过行云管家双因子认证保证使用者安全访问IT资源，即便出现他人盗号、用户密码泄露等重大安全事件，非法访问者仍然“无计可施”，有效避免了由此给公司造成的不必要损失，保证了企业的数据安全。 直接体验： yun.cloudbility.com

在日常使用堡垒机进行IT运维时，用户使用账户密码登录堡垒机后，即可对其具备权限的IT资源进行相应的操作或访问。而用户的堡垒机账户密码一旦被泄露，意味着无关人员可随意访问具备权限的IT资源，企业数据安全无法保障，后果将不堪设想。 那么，我们怎样做到即使密码泄露了也能保证数据安全呢？双因子认证显然是一种行之有效的手段。双因子验证是一种安全验证过程，被用以控制敏感系统和数据的访问。在这一验证过程中，需要用户提供两种不同的认证因素来证明自己的身份，从而起到更好地保护企业数据安全。 小编在使用行云管家进行IT运维的过程中，发现行云管家就具备双因子认证功能，其对用户登录行为、关键设备运维（如：登录申请、执行敏感指令等）进行双因子认证，确认当前运维人员身份，以实现安全运维的需要。 行云管家支持了多种认证方式，可供用户按自身实际情况自由选择。包括： 1、微信认证：支持绑定微信获取验证码来进行双因子认证； 2、短信认证：支持绑定手机号获取验证码来进行双因子认证； 3、动态令牌：支持绑定手机OTP动态令牌来进行双因子认证。 在面对堡垒机的二次认证这一道屏障，即便出现他人盗号、用户密码泄露等重大安全事件，非法访问者仍然“无计可施”，这样即可有效避免由此给公司造成的不必要损失，保证了企业的数据安全。 演示视频： 行云管家双因子认证功能视频 快速体验： 行云管家在线体验