面對不斷發生的網釣與帳密外洩問題,最近Amazon在7月11日宣布,將提供美國Amazon Web Services (AWS) 帳號用戶,可免費下訂取得實體安全金鑰(Security Key),以如此公開的形式提供給企業用戶,這是雲端服務業者首見的創舉,期望幫助用戶對於預防網釣或帳密竊盜威脅,有進一步的嘗試與行動。

關於這項計畫,最早是在去年8月25日宣布,當時美國白宮舉辦資安高峰會,會中多家科技、教育業者均提出,將共同解決美國資安威脅與人才培訓問題的實際行動,Amazon也承諾,要保障AWS用戶的帳號安全,除了宣布要釋出內部安全教育訓練課程,並預告為了預防網釣或帳密竊盜威脅,未來提供每個AWS帳號,都可免費取得多因素認證(MFA)裝置。

避免網釣,AWS將促進MFA啟用與實體安全金鑰的應用

最近7月11日,Amazon正式宣布美國帳號Root User用戶,只要在過去三個月內每月花費超過100美元,就有資格可以免費下訂取得實體安全金鑰(Security Key)。

Amazon資安長CJ Moses表示,他們鼓勵每個人使用MFA 來幫助保護自己的線上帳戶安全,儘管某些應用程式尚不支援實體安全金要,但幾乎所有應用程式都提供了MFA選項。

這次AWS提供免費實體安全金鑰的用意,主要是因為有些企業仍處於早期採用MFA的階段,也不瞭解實體安全金鑰的應用,CJ Moses表示,這個免費的實體安全金鑰,就是保護用戶AWS帳號的另一種方式,也可幫助用戶更了解現在的MFA,是如何可以做到方便與快速登入,並開始朝向啟用MFA的防護邁進。

他並指出,未來,隨著企業組織持續擴產使用AWS,所有用戶也都應該獲取並啟用MFA。而且,這也可以適用於AWS身分服務,也就是AWS Identity and Access Management(IAM)的用戶級別管理,也可以適用於整合式身分存取管控業者的解決方案,並強調使用聯合身分識別(federated identities)是最佳實務。

另一方面, Amazon還設立了名為「Free MFA Security Key」的專屬網頁,告訴AWS用戶如何免費取得,並簡化訂購流程。基本上,分為三個步驟,首先是前往下訂專屬頁面時將檢視資格,接著選擇實體安全金鑰,再來進入結帳頁面輸入送貨地址,就可以免費獲取。

而根據網站上問與答的說明資訊,我們可以了解,目前提供的實體安全金鑰,是基於FIDO標準的Yubico的Security Key NFC,符合資格的用戶會收到通知,訂購後十日內將收到。

對於符合這次資格的Root User帳號亦有說明,就是用戶第一次建立Amazon Web Services(AWS)帳號時,需要先建立一個可以存取所有AWS服務與資源的帳號,而這個帳號,就是AWS帳號Root使用者。

對於這項政策未來是否擴及美國以外的市場,可惜,Amazon至今都並未提及。

另一方面,除了Amazon在去年8月宣布免費提供實體安全金鑰,今年7月正式開放領取,其他業者也有相關行動。例如,在2020年,國內實體安全金鑰業者歐生全與微軟合作,針對使用Azure AD的企業,推出「無密碼試驗計畫」,讓客戶可以小量適用ATKey.Pro登入Azure AD;此外,Google在去年10月也曾宣布,將向高風險用戶提供1萬個實體安全金鑰,這些高風險用戶主要是當選官員、政治運動、人權活動家與記者。

Amazon在7月11日正式宣布,最近三個月每月花費100美元的AWS美國帳號Root User用戶,將可免費下單獲取實體安全金鑰(Security Key),並設置專屬網頁教導用戶索取。


熱門新聞

Advertisement