《哪吒2》最近火爆全球,票房更是直冲全球前十,好多小伙伴甚至二刷、三刷。电影精彩好看的同时,也隐藏着不少有意思的话题。其中,无量仙翁刷脸的场景更直接引发“安全”领域的思考。
在电影中有一个场景,无量仙翁走进一座神秘的监狱,通过人脸识别,大门就“唰”地一下打开了;进入到结尾彩蛋时,被修理成鼻青脸肿的无量仙翁则无法通过人脸识别,被无情地拒之门外。这不禁让让笔者想到,如果无量仙翁采用Multi Factor Authentication(多因素身份认证,简称MFA)技术,即再多加一道额外的身份认证通道,就不会出现这种尴尬情况了。
现实中,提高安全意识和增加安全措施已经必不可少,单一的密码设置或者方式虽能为客户提供数字资产的初步保护,但这种做法已愈发不能应对当前复杂的安全挑战。尤其是面临着越来越多暴力破解、钓鱼攻击、键盘记录等安全威胁,积极全面拥抱MFA技术,增加额外的验证步骤、有效降低安全风险成为大势所趋。
MFA为何成为安全的必选项MFA技术发展已经超过20年。不过,最近几年才“迎头赶上”,受到越来越多用户的重视,从“可选附加项”转变为数字安全的基石。
根本原因是,面对越来越复杂的安全环境,使用简单密码本身已经成为一种严重的安全隐患,而MFA多因素认证则是应对安全威胁最简单易用的方式之一。MFA多因素身份认证作为一道额外的安全屏障,要求用户在访问网站或应用程序时,除了输入密码外,还需提供其他验证信息。
亚马逊云科技一项研究发现,启用MFA可以防止超过99%的密码相关攻击。亚马逊云科技首席信息安全官(CISO)Chris Betz在其博文《亚马逊始终将安全放在首位的7个理由》中也认为,将MFA视为“构建更坚固的安全防线始于基础技术的提升”的关键证据。
事实上,MFA技术之前之所以没有实现快速普及,核心在于安全与便利没有达到一种平衡。当技术、成本、用户体验和用户认知尚未达到一定阶段时,MFA自然就很难实现普及。例如,MFA技术的标准碎片化问题,不同平台支持不同的MFA协议(如SMS、TOTP、FIDO2),导致用户体验不一致,用户接受度有待提升。
但随着网络攻击成本降低(如AI辅助钓鱼攻击),用户和企业对账户安全的需求将持续上升,而技术演进可能逐步解决现有痛点。像生物识别或通行密钥(Passkeys)等技术正加速取代传统MFA;另外,云服务商全面拥抱MFA,也被视为是降低MFA使用成本,提升兼容性和用户体验的一大关键因素,对于MFA普及有着重要的推动作用。
这其中,云服务商近年来在推广MFA发挥着关键作用。云服务商通过规模效应、推动标准开放等,来推动MFA技术成本降低,并且大幅提升用户使用体验、兼容性,并且鼓励MFA相关技术创新。
在所有云服务商中,亚马逊云科技是MFA技术普及的排头兵。自2024年起,亚马逊云科技加速推进MFA的实施,至今已取得积极进展:至2024年6月,防钓鱼MFA客户注册增长了一倍有余;2024年4月到10月,已有超过75万名亚马逊云科技根用户启用了MFA。
除了启用MFA,亚马逊云科技还提供针对用户长期密码和访问密钥等的统一管理,从而降低用户对非必要密码的依赖,在消除安全隐患的同时也降低了运营负担。
持续创新,构筑安全新保障自2024年5月起,亚马逊云科技要求Amazon Organizations的管理账户的根用户必须使用MFA,并从处于较大规模环境的用户开始。2024年6月,亚马逊云科技推出了对FIDO2 passkeys的支持。Amazon Identity and Access Management (IAM)支持使用通行密钥(passkey)作为第二个身份验证因素,为用户多个设备提供更简单、更安全的登录。
Passkeys本质上是基于FIDO2的标准认证凭据,是一种利用公钥密码学原理提供一种强大且能有效抵御网络钓鱼攻击的身份认证方式。可同步的Passkeys是FIDO2凭证服务的一次重大进步,目前很多领先的提供商包括苹果、1Password、谷歌、Dashlane、微软等均提供支持。与传统的将密钥存储于物理设备如基于USB的密钥不同,FIDO密钥的更新允许用户将密钥信息在不同设备和操作系统间进行备份和同步。
基于FIDO(Fast IDentity Online)线上快速身份验证标准,Passkey采用公钥加密技术,将实现比密码更强大且抗钓鱼的身份验证。Amazon IAM现在允许用户使用Passkey进行多因素认证(MFA),并支持内置的身份验证器(如Apple MacBook上的Touch ID和PC上的Windows Hello面部识别),从而实现对亚马逊云科技账户的安全访问。
用户可以通过硬件安全密钥或选择的Passkey提供商使用您的指纹、面部识别或设备PIN创建passkey,并可在设备间同步来登录亚马逊云科技账户。这项新功能不仅扩展了现有的多因素认证(MFA)功能,还有助于提高MFA的可用性和可恢复性。用户可以使用一系列支持的IAM MFA方法,包括FIDO认证的安全密钥,以增强对Amazon账户的访问保护。例如,如果你是采用Google邮箱注册的亚马逊云科技账户,那么你可以通过启用Google身份验证应用程序Google Authenticator来作为你的MFA多因素认证因素。
亚马逊云科技还进一步将MFA的使用要求扩展至所有独立账户的根用户。随Amazon IAM在2024年6月对FIDO2 passkeys的支持,防钓鱼MFA的客户注册率增长了一倍之多。从2024年4月至10月,已有超过75万名亚马逊云科技的根用户启用了MFA。
2024年11月,Amazon IAM又推出一项新功能,允许安全团队在企业中集中管理成员账户的根访问权限。该功能解决了跨多个账户管理根凭据的长期挑战,能够集中管理和保护Amazon Organizations中所有账户的特权根凭证,如删除长期高权限的root凭证,配置无需root凭证的成员账户等。对于需要进行根访问权限的情形,安全团队也无需频繁为其提供手动访问凭证,而是可以根据实际需求提供短期且具备一定任务范围限制的根访问权限。这也与亚马逊云科技的最小权限的最佳实践保持一致。
综合观察,MFA正在成为数字世界的安全基石之一,并且呈现出无密码化、智能化、场景泛化三个重要的发展趋势。在亚马逊云科技这些重要的云服务商的推动下,MFA最近一年在使用成本、使用体验、兼容性、标准化等方面取得了长足的进步,不仅为MFA技术的普及夯实了牢固的基础,更为广大用户提供了更加安全、可靠的数字环境。面向未来,随着MFA技术的普及,数字环境的防御纵深有望得到进一步提升,而与零信任、AI技术的协同,也必然会让更多用户受益。
