问题标签 [multi-factor-authentication]

我已设置我的 github 帐户以使用硬件设备进行多因素身份验证。但是，我只是从命令行运行 git push 并要求输入用户名/密码。我提供了相同的。几次。我必须至少做对一次。每一次，都没有快乐。有什么我想念的吗？

使用 Web 控制台在 AWS IAM 中创建新用户时，对于远程的人（例如，在另一个国家/地区，管理员无法实际访问新用户的智能手机），如何创建用户帐户以便虚拟 MFA是必需的吗？

当智能手机出现在创建用户帐户的时间和地点时，需要虚拟 MFA 很容易（扫描虚拟 MFA 中的条形码，然后输入两个连续的代码），但不清楚当设备不靠近时这是如何工作的行政人员。

• MFA“密钥”与这个用例有什么关系吗？

在发布此问题之前提前后悔，我做了 RTM，但我无法找到明确的答案。

我已经使用 angular2 前端和休息控制器服务层开发了一个 webapp。我在 azure ad 中注册了我的应用程序。系统管理员为 Web 应用启用了 MFA。现在在运行应用程序时出现以下错误。

有人可以提供任何教程或示例代码来实现对启用 MFA 的 azure AD 的身份验证吗？

我知道可以使用 AWS CLI 或 SDK 启用 S3 Bucket 上的 MFA 删除，如本示例所示。

但在 CloudFormation 模板的情况下，如果我想启用 MFA 删除，我将不得不使用此代码调用 lambda。

是否有可能以某种方式直接从 CloudFormation 模板启用 S3 Bucket 的 MFA 删除而不调用特定的 lambda？

这是场景：

一个人要成为俱乐部的会员，该人需要注册，并且在注册后，会员：

• 必须提供手机号码
• 获得一张与他或她的人相关的独特卡片

为了让会员使用俱乐部的电脑和服务，该人必须：

1. 第 1 步：在驻扎在特定商店/分支机构/办公室的机器 (RFID) 前扫描实体卡
2. 步骤2：在最初注册的手机号码上输入短信接收的一次性随机4位代码。（代码在 5 分钟后过期。）

我认为会员卡是你拥有的东西，而随机的一次性使用代码是你知道的东西。因此，卡和 4 位代码是两个因素。如果卡丢失或被盗，小偷仍然不知道 4 位数的密码。如果手机（SIM卡）丢失或被盗，仍需该卡才能继续使用俱乐部服务。. 因此两者是相互独立的。

这个对吗？

谢谢

我们正在为我们的应用程序实现 mfa(multi factor auth)，我正在尝试编写自动化测试来测试它。我没有看到任何直接的方法来获取用户登录的谷歌身份验证器代码。

有没有人尝试过这样做？

我想在 AWS 组织中启用 MFA 并允许用户仅管理他们自己的 MFA 设备。但我希望用户能够通过 API/CLI（而不是使用 AWS 控制台）管理设备。

我在 AWS 文档中找到了这个策略，它几乎很好，因为它允许创建/启用/删除自己的 MFA 设备：

但是，对于设备停用 ( iam:DeactivateMFADevice)，它需要条件aws:MultiFactorAuthPresent为true。这是一个完善的安全措施，用户不能禁用 MFA，而不使用 MFA。但在此策略中，当使用 STS 通过 API/CLI 使用 MFA 登录并承担角色时，资源"arn:aws:iam::account-id-without-hyphens:mfa/${aws:username}"并不代表实际资源，因为${aws:username} 它不存在。我想当以用户身份使用 AWS 控制台时，布尔值aws:MultiFactorAuthPresent可以为真。但据我所知，使用 API/CLI 是不可能同时aws:MultiFactorAuthPresent==true存在${aws:username}的。

那么，我可以编写什么策略来仅授权用户在使用 MFA 时禁用他们的设备，但是当他们承担角色时？

[免责声明，这是与awless CLI 一起使用的]

这是一个与 Windows Credential Provider Implementation 有关的问题

我想跟进这个问题。我们有一个自定义 MFA 解决方案，它会在 Windows 完成身份验证后提示输入短信/密码，然后再让用户进入。不幸的是，在 Windows 2016 和 Windows 10 上，如果没有活动，winLogon.exe 不会等待自定义 mfa 解决方案提示关闭，它只是碰巧让用户登录，违背了拥有 mfa 提示的目的。

我已经使用 Windows 凭据提供程序框架部署了一个自定义凭据提供程序。我知道 Windows 在完成身份验证后调用 ReportResult 函数（https://msdn.microsoft.com/en-us/library/windows/desktop/bb776030(v=vs.85).aspx）以报告状态，但在在这个时刻，我希望 WinLogon.exe 等待（此时我的自定义 mfa 提示挑战）此函数返回，而不是似乎只等待约 2 分钟并将用户登录。

谁能帮我控制这种行为。

我想使用 auth0（用户名/密码和 SMS 代码）实现 2 因素注册。我没有使用 Lock 小部件，而是尝试基于 auth0 API 实现注册。

所以，我现在有以下步骤。

1 注册

POST https://somedomain.eu.auth0.com/dbconnections/signup

响应是创建用户。

2 尝试使用用户名/密码登录

POST https://somedomain.eu.auth0.com/oauth/token

响应是mfa_required和mfa_token字符串。

3 请求 mfa 质询

POST https://somedomain.eu.auth0.com/mfa/challenge

回应是

所以我真的不知道我该如何解决这个问题。我想原因可能是因为用户配置文件中缺少phone_number，但我实际上不知道如何通过Username-Password-Authentication连接添加它。

我已经设置了主要用于 RDP 网关的 HA MS MFA 环境。

我在两个 VM 主机上有 2 个 MSMFA 服务器和 2 个 RDPGW，所以应该总是有一个主机能够重新启动。

只要 RDPGW 上的 NPS 服务器通过 MSMFAs 的主服务器进行身份验证，我就获得了身份验证。

我已经更改了 MSMFAs 的主角色。直到我更改了 NPS 上的主 RADIUS 服务器，它才起作用。

我无法想象为什么从机（无论两个 MSMFA 中的哪一个是从机角色）不进行身份验证。

有没有其他人遇到过这个问题？