近日，亞馬遜網絡服務公司（AWS）表示，到2024年年中起，將要求所有特權賬戶使用多因素身份驗證（MFA），以提高默認安全性并降低賬戶被劫持的風險。

首席安全官Steve Schmidt表示，任何以 AWS 組織管理賬戶根用戶登錄 AWS 管理控制臺的客戶屆時都必須使用 MFA 才能繼續。

同時，他還補充到，必須啟用 MFA 的客戶將通過多種渠道獲知即將發生的變更，包括登錄控制臺時的提示。他們將在2024年把這一計劃擴展到更多場景，如獨立賬戶（AWS 組織中的組織外賬戶）。這個新功能將使MFA大規模采用和管理變得更加便捷。

此舉是繼 AWS 此前努力提高 MFA 使用率之后的又一舉措。該公司早在2021年秋季就開始向美國的賬戶所有者提供免費的安全密鑰，一年后，企業可以在AWS中為每個賬戶根用戶或每個IAM用戶注冊最多8個MFA設備。

Schmidt表示，他們建議每個人都采用MFA，同時他們還鼓勵客戶考慮選擇防網絡釣魚的 MFA 形式，如安全密鑰。

雖然全面啟用 MFA 要求的計劃安排是在2024年，但AWS方面強烈建議廣大客戶從現在開始，就為環境中的所有用戶類型啟用 MFA。

網絡釣魚攻擊可能給員工帶來一定的安全風險，而MFA就是降低風險的關鍵一步。IBM X-Force 上個月的一項研究顯示，在 2022 年 6 月至 2023 年 6 月期間，云入侵的首要初始訪問載體是威脅行為者使用有效憑證。

而在安全廠商調查的真實云事件中，近36%的事件都發生了這種情況，這些憑證要么是在攻擊過程中被發現的，要么是在攻擊賬戶之前被盜取的。