面对不断发生的网络钓鱼与帐密外泄问题,最近Amazon在7月11日宣布,将提供美国Amazon Web Services (AWS) 账号用户,可免费下订取得实体安全密钥(Security Key),以如此公开的形式提供给企业用户,这是云计算服务企业首见的创举,期望帮助用户对于预防网络钓鱼或帐密窃盗威胁,有进一步的尝试与行动。
关于这项计划,最早是在去年8月25日宣布,当时美国白宫举办安全高峰会,会中多家科技、教育企业均提出,将共同解决美国安全威胁与人才培训问题的实际行动,Amazon也承诺,要保障AWS用户的账号安全,除了宣布要发布内部安全教育训练课程,并预告为了预防网络钓鱼或帐密窃盗威胁,未来提供每个AWS账号,都可免费取得多因素认证(MFA)设备。
最近7月11日,Amazon正式宣布美国账号Root User用户,只要在过去三个月内每月花费超过100美元,就有资格可以免费下订取得实体安全密钥(Security Key)。
Amazon首席安全官CJ Moses表示,他们鼓励每个人使用MFA来帮助保护自己的线上账户安全,尽管某些应用程序尚不支持实体安全金要,但几乎所有应用程序都提供了MFA选项。
这次AWS提供免费实体安全密钥的用意,主要是因为有些企业仍处于早期采用MFA的阶段,也不了解实体安全密钥的应用,CJ Moses表示,这个免费的实体安全密钥,就是保护用户AWS账号的另一种方式,也可帮助用户更了解现在的MFA,是如何可以做到方便与快速登录,并开始朝向激活MFA的防护迈进。
他并指出,未来,随着企业组织持续扩产使用AWS,所有用户也都应该获取并激活MFA。而且,这也可以适用于AWS身份服务,也就是AWS Identity and Access Management(IAM)的用户级别管理,也可以适用于集成式身份访问管控企业的解决方案,并强调使用联合身份识别(federated identities)是最佳实务。
另一方面,Amazon还设立了名为“Free MFA Security Key”的专属网页,告诉AWS用户如何免费取得,并简化订购流程。基本上,分为三个步骤,首先是前往下订专属页面时将查看资格,接着选择实体安全密钥,再来进入结账页面输入送货地址,就可以免费获取。
而根据网站上问与答的说明资讯,我们可以了解,目前提供的实体安全密钥,是基于FIDO标准的Yubico的Security Key NFC,符合资格的用户会收到通知,订购后十日内将收到。
对于符合这次资格的Root User账号也有说明,就是用户第一次创建Amazon Web Services(AWS)账号时,需要先创建一个可以访问所有AWS服务与资源的账号,而这个账号,就是AWS账号Root用户。
对于这项政策未来是否波及美国以外的市场,可惜,Amazon至今都并未提及。
另一方面,除了Amazon在去年8月宣布免费提供实体安全密钥,今年7月正式开放领取,其他企业也有相关行动。例如,在2020年,台湾实体安全密钥企业欧生全与微软合作,针对使用Azure AD的企业,推出“无密码试验计划”,让客户可以小量适用ATKey.Pro登录Azure AD;此外,Google在去年10月也曾宣布,将向高风险用户提供1万个实体安全密钥,这些高风险用户主要是当选官员、政治运动、人权活动家与记者。
Amazon在7月11日正式宣布,最近三个月每月花费100美元的AWS美国账号Root User用户,将可免费下单获取实体安全密钥(Security Key),并设置专属网页教导用户获取。