面对不断发生的网络钓鱼与帐密外泄问题,最近amazon在7月11日宣布,将提供美国amazon web services (aws) 账号用户,可免费下订取得实体安全密钥(security key),以如此公开的形式提供给企业用户,这是云计算服务企业首见的创举,期望帮助用户对于预防网络钓鱼或帐密窃盗威胁,有进一步的尝试与行动。
关于这项计划,最早是在去年8月25日宣布,当时美国白宫举办安全高峰会,会中多家科技、教育企业均提出,将共同解决美国安全威胁与人才培训问题的实际行动,amazon也承诺,要保障aws用户的账号安全,除了宣布要发布内部安全教育训练课程,并预告为了预防网络钓鱼或帐密窃盗威胁,未来提供每个aws账号,都可免费取得多因素认证(mfa)设备。
最近7月11日,amazon正式宣布美国账号root user用户,只要在过去三个月内每月花费超过100美元,就有资格可以免费下订取得实体安全密钥(security key)。
amazon首席安全官cj moses表示,他们鼓励每个人使用mfa来帮助保护自己的线上账户安全,尽管某些应用程序尚不支持实体安全金要,但几乎所有应用程序都提供了mfa选项。
这次aws提供免费实体安全密钥的用意,主要是因为有些企业仍处于早期采用mfa的阶段,也不了解实体安全密钥的应用,cj moses表示,这个免费的实体安全密钥,就是保护用户aws账号的另一种方式,也可帮助用户更了解现在的mfa,是如何可以做到方便与快速登录,并开始朝向激活mfa的防护迈进。
他并指出,未来,随着企业组织持续扩产使用aws,所有用户也都应该获取并激活mfa。而且,这也可以适用于aws身份服务,也就是aws identity and access management(iam)的用户级别管理,也可以适用于集成式身份访问管控企业的九游会官网真人游戏第一品牌的解决方案,并强调使用联合身份识别(federated identities)是最佳实务。
另一方面,amazon还设立了名为“free mfa security key”的专属网页,告诉aws用户如何免费取得,并简化订购流程。基本上,分为三个步骤,首先是前往下订专属页面时将查看资格,接着选择实体安全密钥,再来进入结账页面输入送货地址,就可以免费获取。
而根据网站上问与答的说明资讯,我们可以了解,目前提供的实体安全密钥,是基于fido标准的yubico的security key nfc,符合资格的用户会收到通知,订购后十日内将收到。
对于符合这次资格的root user账号也有说明,就是用户第一次创建amazon web services(aws)账号时,需要先创建一个可以访问所有aws服务与资源的账号,而这个账号,就是aws账号root用户。
对于这项政策未来是否波及美国以外的市场,可惜,amazon至今都并未提及。
另一方面,除了amazon在去年8月宣布免费提供实体安全密钥,今年7月正式开放领取,其他企业也有相关行动。例如,在2020年,台湾实体安全密钥企业欧生全与微软合作,针对使用azure ad的企业,推出“无密码试验计划”,让客户可以小量适用atkey.pro登录azure ad;此外,google在去年10月也曾宣布,将向高风险用户提供1万个实体安全密钥,这些高风险用户主要是当选官员、政治运动、人权活动家与记者。
amazon在7月11日正式宣布,最近三个月每月花费100美元的aws美国账号root user用户,将可免费下单获取实体安全密钥(security key),并设置专属网页教导用户获取。