AWS開(kāi)放免費(fèi)下訂實(shí)體安全密鑰，目前限美國(guó)賬號(hào)Root User用戶

面對(duì)不斷發(fā)生的網(wǎng)絡(luò)釣魚(yú)與帳密外泄問(wèn)題，最近Amazon在7月11日宣布，將提供美國(guó)Amazon Web Services(AWS)賬號(hào)用戶，可免費(fèi)下訂取得實(shí)體安全密鑰（Security Key），以如此公開(kāi)的形式提供給企業(yè)用戶，這是云計(jì)算服務(wù)企業(yè)首見(jiàn)的創(chuàng)舉，期望幫助用戶對(duì)于預(yù)防網(wǎng)絡(luò)釣魚(yú)或帳密竊盜威脅，有進(jìn)一步的嘗試與行動(dòng)。

關(guān)于這項(xiàng)計(jì)劃，最早是在去年8月25日宣布，當(dāng)時(shí)美國(guó)白宮舉辦安全高峰會(huì)，會(huì)中多家科技、教育企業(yè)均提出，將共同解決美國(guó)安全威脅與人才培訓(xùn)問(wèn)題的實(shí)際行動(dòng)，Amazon也承諾，要保障AWS用戶的賬號(hào)安全，除了宣布要發(fā)布內(nèi)部安全教育訓(xùn)練課程，并預(yù)告為了預(yù)防網(wǎng)絡(luò)釣魚(yú)或帳密竊盜威脅，未來(lái)提供每個(gè)AWS賬號(hào)，都可免費(fèi)取得多因素認(rèn)證（MFA）設(shè)備。

最近7月11日，Amazon正式宣布美國(guó)賬號(hào)Root User用戶，只要在過(guò)去三個(gè)月內(nèi)每月花費(fèi)超過(guò)100美元，就有資格可以免費(fèi)下訂取得實(shí)體安全密鑰（Security Key）。

Amazon首席安全官CJ Moses表示，他們鼓勵(lì)每個(gè)人使用MFA來(lái)幫助保護(hù)自己的線上賬戶安全，盡管某些應(yīng)用程序尚不支持實(shí)體安全金要，但幾乎所有應(yīng)用程序都提供了MFA選項(xiàng)。

這次AWS提供免費(fèi)實(shí)體安全密鑰的用意，主要是因?yàn)橛行┢髽I(yè)仍處于早期采用MFA的階段，也不了解實(shí)體安全密鑰的應(yīng)用，CJ Moses表示，這個(gè)免費(fèi)的實(shí)體安全密鑰，就是保護(hù)用戶AWS賬號(hào)的另一種方式，也可幫助用戶更了解現(xiàn)在的MFA，是如何可以做到方便與快速登錄，并開(kāi)始朝向激活MFA的防護(hù)邁進(jìn)。

他并指出，未來(lái)，隨著企業(yè)組織持續(xù)擴(kuò)產(chǎn)使用AWS，所有用戶也都應(yīng)該獲取并激活MFA。而且，這也可以適用于AWS身份服務(wù)，也就是AWS Identity and Access Management（IAM）的用戶級(jí)別管理，也可以適用于集成式身份訪問(wèn)管控企業(yè)的解決方案，并強(qiáng)調(diào)使用聯(lián)合身份識(shí)別（federated identities）是最佳實(shí)務(wù)。

另一方面，Amazon還設(shè)立了名為“Free MFA Security Key”的專屬網(wǎng)頁(yè)，告訴AWS用戶如何免費(fèi)取得，并簡(jiǎn)化訂購(gòu)流程?；旧?，分為三個(gè)步驟，首先是前往下訂專屬頁(yè)面時(shí)將查看資格，接著選擇實(shí)體安全密鑰，再來(lái)進(jìn)入結(jié)賬頁(yè)面輸入送貨地址，就可以免費(fèi)獲取。

而根據(jù)網(wǎng)站上問(wèn)與答的說(shuō)明資訊，我們可以了解，目前提供的實(shí)體安全密鑰，是基于FIDO標(biāo)準(zhǔn)的Yubico的Security Key NFC，符合資格的用戶會(huì)收到通知，訂購(gòu)后十日內(nèi)將收到。

對(duì)于符合這次資格的Root User賬號(hào)也有說(shuō)明，就是用戶第一次創(chuàng)建Amazon Web Services（AWS）賬號(hào)時(shí)，需要先創(chuàng)建一個(gè)可以訪問(wèn)所有AWS服務(wù)與資源的賬號(hào)，而這個(gè)賬號(hào)，就是AWS賬號(hào)Root用戶。

對(duì)于這項(xiàng)政策未來(lái)是否波及美國(guó)以外的市場(chǎng)，可惜，Amazon至今都并未提及。

另一方面，除了Amazon在去年8月宣布免費(fèi)提供實(shí)體安全密鑰，今年7月正式開(kāi)放領(lǐng)取，其他企業(yè)也有相關(guān)行動(dòng)。例如，在2020年，臺(tái)灣實(shí)體安全密鑰企業(yè)歐生全與微軟合作，針對(duì)使用Azure AD的企業(yè)，推出“無(wú)密碼試驗(yàn)計(jì)劃”，讓客戶可以小量適用ATKey.Pro登錄Azure AD；此外，Google在去年10月也曾宣布，將向高風(fēng)險(xiǎn)用戶提供1萬(wàn)個(gè)實(shí)體安全密鑰，這些高風(fēng)險(xiǎn)用戶主要是當(dāng)選官員、政治運(yùn)動(dòng)、人權(quán)活動(dòng)家與記者。

Amazon在7月11日正式宣布，最近三個(gè)月每月花費(fèi)100美元的AWS美國(guó)賬號(hào)Root User用戶，將可免費(fèi)下單獲取實(shí)體安全密鑰（Security Key），并設(shè)置專屬網(wǎng)頁(yè)教導(dǎo)用戶獲取。