Question

多因素验证在很多操作中都适用，特别是敏感的操作，从业务逻辑上来说，不仅仅是后台的登录、修改配置等操作才算敏感，同样前台用户进行个人操作的时候也一样需要受到保护，阿里云在这方面做得非常好，如图 12-13 所示。

图 12-13

在阿里云进行诸如修改域名解析、修改服务器密码等操作时都需要验证手机短信，这样即使密码被泄露也无法进行这些敏感操作。

多因素认证从字面意思就可以理解，即添加多种验证方式，敏感操作多次验证权限，验证的方式有如下几种：

1）手机短信验证码。

2）手机语言验证码。

3）手机 App 动态令牌。

4）邮箱验证码。

5）实体令牌卡。

6）电子图片令牌卡。

7）硬件令牌。

验证方式层出不穷，我们在使用的时候需要根据业务的保密程度来确定使用哪种方式，因为每种方式的用户体验不同，像某银行开发的 U 盾使用的时候必须要用 IE 浏览器，然后安装各种驱动，折腾半天还要重启一下，最后发现还不一定能用，这种体验非常糟糕。