多重身份验证（MFA）帮助组织验证公有云中的帐户和用户身份。 但是当我的MFA设备不同步时，我们应该怎么办？

　　多因素身份验证增加了一个额外的安全层，以验证用户的身份，包括在公有云中。 虽然它有它的优势，但可能存在管理方面的挑战，包括同步帐户和设备。

　　当云管理员首先为用户配置MFA时，MFA设备就与用户的云提供商帐户松散相关。 管理员通常输入设备的序列号，以及设备生成的一个或两个生认证码，以初始化同步帐户和设备。

　　但是，MFA设备与公有云提供商或用户帐户之间没有直接链接，因此MFA设备可能会失去同步。 如果设备被重置或按错键按，则会发生这种情况。 如果身份验证代码不同步，那么在恢复MFA之前，用户则无法登录到云提供商帐户中。

　　云提供商提供重新同步MFA设备的方法。 例如，Amazon Web Services（AWS）等平台使用身份和访问管理（IAM）服务来提示用户重新同步那些不再提供预期代码序列的MFA设备。然后，管理员可以使用AWS IAM控制台来查找，并选择需要重新同步的用户，导航到“Security Credentials ”选项卡中 ，然后选择“Manage MFA Device”。当MFA向导启动时，选择“Resynchronize MFA device ”，然后输入设备生成的下两个验证码。完成这一过程后，用户就能够登录到AWS上。 重新同步也可以通过AWS命令行界面、Windows PowerShell和AWS IAM API来初始化 。

　　其它公有云平台，如Azure和Google，他们强调基于应用的MFA要使用智能手机接收认证消息或代码。这种情况下，智能手机通常不会失去同步功能，因为它是从认证服务器接收认证码，而不是根据独立的算法简单地生成自己的代码。

　　MFA设备并不完美，它们可能会丢失或需要更换。不幸的是，管理员一次只能向用户分配一个MFA设备，因此不允许备用或备份MFA设备。当必须更换MFA设备时，请首先使用云提供商的管理控制台停用旧设备，然后根据云提供商的文档为该用户启用新的MFA设备。