近日，亞馬遜網(wǎng)絡(luò)服務(wù)公司（AWS）表示，到2024年年中起，將要求所有特權(quán)賬戶使用多因素身份驗(yàn)證（MFA），以提高默認(rèn)安全性并降低賬戶被劫持的風(fēng)險(xiǎn)。

首席安全官Steve Schmidt表示，任何以 AWS 組織管理賬戶根用戶登錄 AWS 管理控制臺(tái)的客戶屆時(shí)都必須使用 MFA 才能繼續(xù)。

同時(shí)，他還補(bǔ)充到，必須啟用 MFA 的客戶將通過多種渠道獲知即將發(fā)生的變更，包括登錄控制臺(tái)時(shí)的提示。他們將在2024年把這一計(jì)劃擴(kuò)展到更多場景，如獨(dú)立賬戶（AWS 組織中的組織外賬戶）。這個(gè)新功能將使MFA大規(guī)模采用和管理變得更加便捷。

此舉是繼 AWS 此前努力提高 MFA 使用率之后的又一舉措。該公司早在2021年秋季就開始向美國的賬戶所有者提供免費(fèi)的安全密鑰，一年后，企業(yè)可以在AWS中為每個(gè)賬戶根用戶或每個(gè)IAM用戶注冊最多8個(gè)MFA設(shè)備。

Schmidt表示，他們建議每個(gè)人都采用MFA，同時(shí)他們還鼓勵(lì)客戶考慮選擇防網(wǎng)絡(luò)釣魚的 MFA 形式，如安全密鑰。

雖然全面啟用 MFA 要求的計(jì)劃安排是在2024年，但AWS方面強(qiáng)烈建議廣大客戶從現(xiàn)在開始，就為環(huán)境中的所有用戶類型啟用 MFA。

網(wǎng)絡(luò)釣魚攻擊可能給員工帶來一定的安全風(fēng)險(xiǎn)，而MFA就是降低風(fēng)險(xiǎn)的關(guān)鍵一步。IBM X-Force 上個(gè)月的一項(xiàng)研究顯示，在 2022 年 6 月至 2023 年 6 月期間，云入侵的首要初始訪問載體是威脅行為者使用有效憑證。

而在安全廠商調(diào)查的真實(shí)云事件中，近36%的事件都發(fā)生了這種情況，這些憑證要么是在攻擊過程中被發(fā)現(xiàn)的，要么是在攻擊賬戶之前被盜取的。