AWS加强MFA要求，Passkeys提升安全性和可用性

关键要点

AWS推出对FIDO2 passkeys的支持，以增强客户的多因素认证MFA选项和安全性。从2024年7月起，独立账户的根用户在登录AWS管理控制台时必须使用MFA。Passkeys提供了一种用户友好且安全的认证方式，能够提升账户安全性。MFA的使用对于增强账户安全至关重要，AWS鼓励用户采用MFA，尤其是防钓鱼的MFA方法。

Amazon Web ServicesAWS旨在为客户提供最安全的工作负载运行环境。从一开始，我们就在云计算中开创了“按设计安全”和“默认安全”的实践。如今，我们又迈出了增强客户强身份认证选项的一步，推出对FIDO2 passkeys作为多因素认证MFA方法的支持，从而扩展我们的MFA功能。Passkeys为许多客户提供了一种高度安全且用户友好的MFA选项。

熊猫加速器安卓版下载

变更内容

在2023年10月，我们首次宣布将开始要求AWS账户中的最特权用户使用MFA，这一要求将首先适用于管理AWS Organizations的根用户，然后逐步扩展到其他用例。从2024年7月起，独立账户的根用户将在登录AWS管理控制台时被要求使用MFA。和管理账户一样，这项变更将从少数客户开始，逐步增加，客户在登录时会看到启用MFA的提醒。该变更不适用于AWS Organizations中的成员账户的根用户。我们将在2024年稍晚时分享有关其他根用户用例例如成员账户的MFA要求的更多信息，同时准备推出更多功能，帮助客户在大规模管理MFA方面的需求。

在我们为未来几个月的计划做准备时，今天我们正在推出对FIDO2 passkeys作为MFA方法的支持，以帮助客户符合MFA要求并增强其默认安全性。客户在全球数十亿台计算机及移动设备上已经在使用passkeys，仅需通过指纹、面部扫描或设备内置的PIN等安全机制进行访问。例如，您可以将您的iPhone上的Apple Touch ID或笔记本电脑上的Windows Hello配置为验证器，然后在使用多个其他设备登录AWS控制台时，使用相同的passkey作为MFA方法。

过去一年，行业内围绕passkeys进行了大量讨论，因此在这篇博文中，我将解决一些关于passkeys的常见问题，并分享它们如何融入您的安全策略。

什么是Passkeys？

Passkeys是一个熟悉技术的新名称：它们是FIDO2凭证，利用公钥密码学提供强大、抗钓鱼的身份验证。可同步的passkeys是凭证提供商如Apple、1Password、Google、Dashlane、Microsoft等对FIDO2实现的进化，这使得FIDO密钥可以跨设备和操作系统备份和同步，而不是像USB密钥那样存储在物理设备上。

这些变化对于重视可用性和账户恢复的客户来说，是重大增强，但所需的更改并未修改构成FIDO2的规格。Passkeys仍然具备FIDO2从一开始就拥有的相同基本加密安全和抗钓鱼特性。作为FIDO联盟的成员公司，我们持续与FIDO合作，以支持强身份验证技术的发展，并期待为FIDO技术提供新体验，从而在可用性与安全之间取得良好平衡。

谁应该使用Passkeys？

在描述谁应该使用passkeys之前，我想强调，任何类型的MFA都比没有MFA要好。MFA是您可以应用于账户的最简单但最有效的安全控制措施之一，所有人都应该使用某种形式的MFA。但是，在决定您个人或企业应该使用什么时，了解不同类型的MFA之间的一些关键区别是有益的。

Passkeys 提升了安全性和可用性，因为 AWS 扩大了 MFA 的要求安全博客

我们建议使用抗钓鱼的MFA形式，例如passkeys和其他FIDO2身份验证器。近年来，随着基于凭证的漏洞的增加，针对使用一次性PINOTP进行MFA的用户的钓鱼和社交工程攻击也有所增加。例如，OTP设备的用户必须从设备上读取PIN并手动输入，因此不法分子可能会试图让毫无戒心的用户将OTP告知他们，从而绕过MFA的价值。虽然passkeys明显比仅依赖密码的身份验证有了明显改进，但在许多情况下，passkeys不仅更友好用户体验，而且也比基于OTP的MFA更安全。这就是为什么passkeys在按设计安全的策略中是一个重要工具：可用的安全性对于有效的安全性至关重要。因此，passkeys是最适合大多数人平衡用户体验和安全性的优秀选择。寻找同时更安全且易于使用的安全机制并不总是容易，但与基于OTP的MFA相比，passkeys就是这样的难得例外之一。

如果您已经在使用其他形式的MFA，例如不可同步的FIDO2硬件安全密钥或身份验证应用程序，您是否应该迁移到可同步的passkeys则取决于您或您组织的使用和需求。由于其凭证仅绑定于创建它们的设备，FIDO2安全密钥为那些法律法规或安全要求要求最强身份验证形式的客户提供最高级别的安全保证，例如FIPS认证设备。同时还要了解，passkey提供商的安全模型，例如提供商在访问或恢复密钥库访问权限时设定的要求，已经成为您决定未来要部署或使用哪些形式的MFA时需要考虑的重要因素。

提高MFA的使用频率

在上个月的RSA大会上，我们决定签署网络安全和基础设施安全局CISA的“按设计安全”承诺，这是针对企业软件产品和服务的自愿承诺，符合CISA的“按设计安全”原则。该承诺的一个关键要素是增加MFA的使用，这是增强账户安全的最简单有效的方法之一。

当用作MFA时，passkeys以用户友好的方式提供增强的用户认证安全性。您可以立即注册和使用passkeys来增强您的AWS控制台访问安全性。这将帮助您在7月开始向更多客户推出的AWS默认MFA安全要求中保持合规状态。我们将在随后进行的传播中讨论与“按设计安全”承诺的其他要素的状态和进展。与此同时，我们强烈建议您在今天登录的任何地方尽可能采用某种形式的MFA，特别是防钓鱼的MFA，我们很高兴能够为之加强与FIDO2 passkeys的结合。

如果您对这篇文章有反馈，请在下面的评论部分提交您的意见。如果您对这篇文章有任何疑问，请联系AWS支持。

Arynn CrowArynn是AWS身份验证产品的高级经理。Arynn于2012年加入亚马逊，作为客户服务代表，经过多次不同角色后，于2017年找到了在安全和身份领域的快乐工作。Arynn现在负责开发用户身份验证服务的产品团队。

标签：AWS IAM、MFA、多因素认证、安全、安全博客