AWS Se agregó compatibilidad con claves FIDO2, un método de autenticación sin contraseña que cumple con el conjunto de protocolos de autenticación abiertos y estandarizados Fast Identity Online (FIDO), para la autenticación multifactor. Además, el proveedor pronto hará que la autenticación multifactor (MFA) sea obligatoria para iniciar sesión en las cuentas de AWS. “A partir de julio de 2024, los usuarios raíz de cuentas independientes, aquellas que no se administran con el servicio AWS Organizations, deberán usar MFA para iniciar sesión en la consola de administración de AWS”. ha explicado Arynn Crow, gerente de productos de autenticación de usuarios de AWS, en la reciente conferencia re:Inforce del proveedor de la nube (del 10 al 12 de junio en Filadelfia). “De manera similar a lo que ocurre con las cuentas de administración, este cambio comenzará con una pequeña cantidad de clientes y se implementará gradualmente durante un período de varios meses”, agregó. AWS les dará a los clientes un período de gracia para habilitar la autenticación multifactor, que aparecerá como un recordatorio cuando inicien sesión.

Actualmente, en la primera fase en curso del programa de implementación de autenticación multifactor, AWS solo requiere MFA para los usuarios raíz en la "cuenta de administración" del servicio AWS Organizations. Este servicio de administración de cuentas basado en políticas consolida varias cuentas de AWS en una empresa cuando inician sesión en la consola de AWS. El proveedor anunció en octubre de 2023 que futura ampliación del MFA para los usuarios raíz independientes de AWS, con características prometedoras que “harán que la MFA sea aún más fácil de adoptar y administrar a escala”. En este momento, los cambios no se aplican a las “cuentas de miembro” en el servicio AWS Organizations, dijo Crow. Las cuentas de miembro son cuentas separadas de la cuenta de administración que se utiliza para crear y administrar la empresa. AWS planea lanzar características adicionales a finales de este año para ayudar a los clientes a administrar la MFA para más usuarios, incluidas las cuentas de miembro en AWS Organizations.

Autenticación antiphishing mediante clave de acceso

Para evitar tener que usar un segundo factor de autenticación para iniciar sesión, ArynnCrow explicó que AWS admitiría el uso de claves de acceso FIDO2. Según ella, estas claves son más seguras que las contraseñas de un solo uso o los métodos de autenticación multifactor basados ​​en contraseñas. Las claves de acceso se consideran resistentes al phishing porque se basan en criptografía de clave pública. Una vez que un usuario crea una contraseña con un sitio o aplicación, se genera un par de claves pública y privada en el dispositivo del usuario. Si la clave pública es accesible a través del sitio o la aplicación, se vuelve inútil para un actor de amenazas que no tenga la clave privada. El uso de una clave de acceso para iniciar sesión es en gran medida automático, ya que no requiere escribir ni ingresar nada, y es inherentemente más seguro. Esto se debe a que las claves de acceso no implican ningún paso adicional ni códigos que puedan ser robados, suplantados o interceptados si no se manejan correctamente.

Las claves de acceso sincronizables, una implementación del estándar FIDO2, permiten compartir claves de acceso entre dispositivos y sistemas operativos una vez que se han generado en un dispositivo. “Esto es mejor porque, a diferencia de almacenarlas en un dispositivo físico como una unidad USB, realiza copias de seguridad y sincroniza las claves de acceso entre dispositivos”, dijo Crow. “Los clientes ya usan claves de acceso en miles de millones de computadoras y dispositivos móviles en todo el mundo, utilizando solo un mecanismo de seguridad como una huella digital, un escaneo facial o un PIN integrado en su dispositivo”, agregó Crow. “Por ejemplo, podría configurar Apple Touch ID en un iPhone o Windows Hello en una computadora portátil como autenticador y luego usar esa misma clave como un método MFA para iniciar sesión en la consola de AWS desde varios otros dispositivos en su posesión”.