用MFA替代“password”，防御值加99% 原创

最近《哪吒2》票房冲破100亿！官方连说100个谢谢，感谢观众的支持。而影片最让我印象深刻的，莫过于结尾彩蛋引发的“安全”思考，无量仙翁被哪吒和敖丙联手“教训”，鼻青脸肿到连人脸识别都无法通过，惨遭系统拒之门外。

试想一下，如果无量仙翁采用了MFA多因素身份认证（Multi Factor Authentication），结局或许会大不相同。MFA是一种安全验证机制，就像加上多重保险，除了人脸识别，还需要密码、指纹、甚至是法宝验证等，多重保障让“冒牌货”无处遁形！

其实MFA的重要性早已得到广泛认可，亚马逊云科技始终将安全作为服务构建的核心原则，自2024年起就加速推进MFA的实施，如今已取得了显著进展：截至2024年6月，防钓鱼MFA客户注册量增长超过一倍；从2024年4月到10月，已有超过75万名亚马逊云科技的核心用户启用了MFA。

无论是神仙还是凡人，在数字化时代，都需要提高安全意识，采用MFA等安全措施，则能更好地保护自身安全，避免“被拒之门外”的尴尬处境。

MFA打破密码攻击，新时代的安全防线

尽管MFA技术已发展超过20年，但其普及率仍不理想。MFA作为一道额外的安全屏障，要求用户在访问网站或应用程序时，除了输入密码外，还需提供其他验证信息。

亚马逊云科技首席信息安全官（CISO）Chris Betz在其博文《亚马逊始终将安全放在首位的7个理由》中，将MFA视为“构建更坚固的安全防线始于基础技术的提升”的关键证据。他提到，单一的密码设置虽能为客户提供数字资产的初步保护，但这种做法已不足以应对当前的安全挑战。

MFA能阻止超过99%的密码相关攻击，自亚马逊云科技首次倡导客户为根用户设置MFA以来，客户账户安全性得到显著提升。

2024年5月起，亚马逊云科技要求Amazon Organizations的管理账户的根用户必须使用MFA，并从处于较大规模环境的用户开始。Amazon Organizations是一项账户管理服务，可以将多个亚马逊云科技账户整合到其中管理的组织中，包含账户管理和账单整合。

为了进一步提升MFA的易用性，亚马逊云科技在2024年re:Inforce大会上宣布，Amazon Identity and Access Management (Amazon IAM)将支持通行密钥（Passkeys）作为第二身份验证因素。Passkeys采用公钥加密技术，相比传统密码，提供了更强的安全性，并有效抵御网络钓鱼攻击的强身份认证。

2024年11月，Amazon IAM推出一项新功能，允许安全团队在企业中集中管理成员账户的根访问权限。该功能解决了跨多个账户管理根凭据的长期挑战，能够集中管理和保护Amazon Organizations中所有账户的特权根凭证，例如删除长期高权限的root凭证，配置无需root凭证的成员账户等。对于需要进行根访问权限的情形，安全团队也无需频繁为其提供手动访问凭证，而是可以根据实际需求提供短期且具备一定任务范围限制的根访问权限。这也与亚马逊云科技的最小权限的最佳实践保持一致。

此外，亚马逊云科技还推出集中管理Amazon Organizations中管理账户根访问权限的创新功能，减少客户所需管理的密码数量，确保对根用户权限的严格控制。客户可通过IAM控制台或Amazon CLI简单配置启用此功能，移除成员账户中根用户的长期凭据，提升安全防护能力并减轻运营负担。

从Passkeys到更多创新，安全认证还在演进

在宣布对FIDO2 Passkeys的支持后，亚马逊云科技的客户纷纷给出积极反馈，并开始广泛应用。比如采用Google邮箱注册的亚马逊云科技账户，可以通过启用Google身份验证应用程序Google Authenticator来作为MFA多因素认证因素。

Passkeys为多个设备提供了更简便、更安全的登录体验。具体而言，Passkeys是基于FIDO2的标准认证凭据，是一种利用公钥密码学原理提供一种强大且能有效抵御网络钓鱼攻击的身份认证方式。

同步功能的Passkeys是FIDO2凭证服务的一次重大进步，目前很多领先的提供商包括苹果、1Password、谷歌、Dashlane、微软等均提供支持。与传统的将密钥存储于物理设备如基于USB的密钥不同，FIDO密钥的更新允许用户将密钥信息在不同设备和操作系统间进行备份和同步。

基于FIDO（Fast IDentity Online）线上快速身份验证标准，Passkey采用公钥加密技术，将实现比密码更强大且抗钓鱼的身份验证。Amazon IAM现在允许用户使用Passkey进行多因素认证（MFA），并支持内置的身份验证器（如Apple MacBook上的Touch ID和PC上的Windows Hello面部识别），从而实现对亚马逊云科技账户的安全访问。

用户可以通过硬件安全密钥或选择的Passkey提供商使用您的指纹、面部识别或设备PIN创建passkey，并可在设备间同步来登录亚马逊云科技账户。这项新功能不仅扩展了现有的多因素认证（MFA）功能，还有助于提高MFA的可用性和可恢复性。用户可以使用一系列支持的IAM MFA方法，包括FIDO认证的安全密钥，以增强对Amazon账户的访问保护。

亚马逊云科技始终将安全视为重中之重，实施了一系列措施提升安全防护能力，包括监控网络资源、阻止泄露凭据使用、杜绝弱安全性密码，并持续投入资源提升MFA等安全技术的易用性和有效性。

随着MFA技术的普及和应用，数字资产的保护将进入一个新的层次，安全防护将变得更加智能和无缝。通过不断推动Passkeys和其他创新安全技术的落地，亚马逊云科技正为客户创造一个更加可靠的数字环境，这不仅是对当前安全挑战的回应，更为未来的网络安全奠定坚实的基础。