AWS推出根用户和IAM用户的密码密钥多因素认证MFA

关键要点

AWS现在支持根用户和IAM用户使用密码密钥进行多因素认证MFA。从最敏感的管理账户开始，AWS开始强制要求根用户使用MFA。密码密钥提供更高的安全性，减少身份盗用和钓鱼攻击的可能性。

安全性是亚马逊网络服务AWS的首要任务。今天，我们推出了两项功能以帮助您加强AWS账户的安全性：

首先，我们为您的根用户和AWS身份与访问管理IAM用户添加了密码密钥，作为多因素认证MFA的支持方式。其次，我们开始强制要求根用户开启MFA，首先是您的AWS组织的管理账户根用户。我们将在今年剩余时间内继续在其他账户上实施这一变更。

MFA是增强账户安全性最简单且最有效的方法之一，提供额外的保护层，帮助防止未经授权的个人获取系统或数据的访问权限。

使用密码密钥进行根用户和IAM用户的MFA

密码密钥是用于FIDO2身份验证的凭据的通用术语。

密码密钥由您在注册服务或网站时在客户端设备上生成的一对加密密钥组成。这对密钥与网络服务域绑定，并且每个密钥都是独一无二的。

秘钥对的公钥部分会发送到服务并存储在服务方，而私钥部分则存储在安全设备如安全密钥中，或在您使用云服务如iCloud钥匙串、Google账户或诸如1Password的密码管理器时安全共享在连接到您的用户账户的设备上。

通常，访问私钥的权限受到PIN码或生物识别认证的保护，例如Apple的面部识别、指纹识别或Microsoft Hello，具体取决于您的设备。

当我尝试在一个受密码密钥保护的服务上进行身份验证时，服务会向我的浏览器发出挑战。浏览器随后请求我的设备使用私钥对挑战进行签名。这时会触发PIN码或生物识别认证以访问存储私钥的安全存储。浏览器将签名返回给服务。当签名有效时，它确认了我拥有与存储在服务上的公钥匹配的私钥，认证成功。

您可以阅读更多关于这个过程以及各种标准的相关信息FIDO2、CTAP、WebAuthn，我的一篇博客文章中详细介绍了AWS在2020年11月推出密码密钥支持的过程。

密码密钥可以取代密码，但在此初始版本中，我们选择将密码密钥作为第二因素认证，辅以您的密码。密码是您知道的事情，而密码密钥是您拥有的事物。

与密码相比，密码密钥对钓鱼攻击的抵抗能力更强。首先，获取受指纹、面罩或PIN码保护的私钥要困难得多。其次，密码密钥绑定于特定网络域，减少意外泄露的范围。

作为最终用户，您将享受到使用的便利性和易于恢复性。您可以使用手机和笔记本电脑中的内置身份验证器来解锁加密保护的凭据，从而体验AWS的登录。同时，使用云服务来存储密码密钥例如iCloud钥匙串、Google账户或1Password，可以从与您的密码密钥提供商账户连接的任何设备访问密码密钥。这使您在不幸丢失设备的情况下能够方便地恢复密码密钥。

如何为IAM用户启用密码密钥MFA

要启用密码密钥MFA，我导航到控制台的AWS身份和访问管理IAM部分。我选择一个用户，并向下滚动页面到多因素认证MFA部分。然后，我选择分配MFA设备。

注意，为了帮助您增强恢复能力和账户韧性，您可以为用户启用多个MFA设备。

在下一页面，我输入MFA设备名称，然后选择密码密钥或安全密钥。接着，我选择下一步。

当使用支持密码密钥的密码管理应用时，它会弹出窗口询问您是否希望使用该应用生成和存储密码密钥。否则，您的浏览器将提供几个选项。屏幕的具体布局取决于您使用的操作系统macOS或Windows和浏览器。以下是在macOS和基于Chromium的浏览器中看到的屏幕。

后续体验将取决于您的选择。iCloud钥匙串会提示您进行Touch ID以生成和存储密码密钥。

在这个演示中，我想向您展示如何在另一台设备例如手机上引导密码密钥。因此，我选择使用手机、平板或安全密钥。浏览器会显示一个二维码。我使用手机扫描这个二维码。手机通过面部识别验证我，并生成并存储密码密钥。

这种基于二维码的流允许从一个设备使用一个密码密钥登录到另一个设备在我的演示中是手机和笔记本电脑。这是由FIDO规范定义的，称为跨设备身份验证CDA。

当一切顺利时，密码密钥现在已在IAM用户中注册。

机场翻墙

请注意，我们不建议使用IAM用户来验证人类登录AWS控制台。我们建议改用AWS IAM身份中心配置单点登录SSO。

登录体验

一旦MFA被启用并配置了密码密钥，我尝试登录我的账户。

用户体验取决于您使用的操作系统、浏览器和设备。

例如，在macOS中，如果启用了iCloud钥匙串，系统会提示我触摸Touch ID密钥。在这个演示中，我使用CDA在我的手机上注册了密码密钥。因此，系统要求我用手机扫描二维码。一旦扫描，手机通过面部识别解锁密码密钥，AWS控制台完成登录过程。

强制根用户使用MFA

今天的第二个公告是我们已经开始强制某些AWS账户的根用户使用MFA。这一变化在去年的一篇博客文章中由Amazon首席安全官Stephen Schmidt首次宣布。

引用Stephen的话：

“确保AWS中最高级别用户使用MFA是我们不断增强AWS客户安全态势的承诺中的最新一步。”

我们从您最敏感的账户开始：您AWS组织的管理账户。该政策的部署是渐进的，每次仅数千个账户。接下来的几个月，我们将逐渐在大多数AWS账户的根用户中部署MFA强制政策。

当您的根用户账户未启用MFA并且账户更新时，在您登录时会弹出新消息，提示您启用MFA。您将有一个宽限期，之后MFA将变为强制要求。

您可以开始在所有AWS区域除了中国使用密码密钥进行多因素认证。

我们在所有AWS区域强制使用多因素认证，除了中国的两个区域北京、宁夏和AWS GovCloud美国，因为这些区域的AWS账户没有根用户。

现在请去启用您账户中的根用户密码密钥MFA。

seb

标签

AWS身份与访问管理安全性

Sbastien Stormacq

Sbastien从上世纪八十年代中期第一次接触Commodore 64以来就开始编写代码。他激励构建者释放AWS云的价值，结合他的激情、热情、客户倡导、好奇心和创造力。他的兴趣包括软件架构、开发者工具和移动计算。如果您想向他销售东西，确保它有API。可以在Twitter上关注他@sebsto。