Amazon Web Services (AWS) ampliará el alcance de un programa obligatorio de autenticación multifactor (MFA) que introdujo a principios de este año, después de ver una fuerte aceptación entre los clientes y una caída en los ataques de phishing relacionados con contraseñas.
El gigante de la nube hizo que MFA fuera obligatorio para los usuarios raíz de cuentas de administración en AWS Management Console a partir de mayo de 2024, comenzando con sus cuentas más grandes. En junio, agregó soporte para claves de acceso FIDO2 como método MFA para brindar a los usuarios más opciones y amplió el requisito original para incluir también a los usuarios root en cuentas independientes.
Según Arynn Crow, gerente principal de productos de protección de cuentas de AWS, más de 750.000 usuarios raíz han habilitado MFA desde abril, y las tasas de registro de clientes se han más que duplicado desde la adición de claves de acceso FIDO2 a la combinación. Afirmó que el cambio de política había evitado “más del 99%” de los ataques relacionados con contraseñas.
“En AWS, hemos creado nuestros servicios con principios de seguridad desde el diseño desde el primer día, incluidas características que establecen un alto nivel para la postura de seguridad predeterminada de nuestros clientes”, afirmó Crow. “La autenticación sólida es un componente fundamental en la seguridad general de la cuenta, y el uso de MFA es una de las formas más simples y efectivas de ayudar a evitar que personas no autorizadas obtengan acceso a los sistemas o datos”.
Basándose en este éxito inicial, AWS ampliará los requisitos de MFA a las cuentas de miembros de las organizaciones de AWS a partir de la primavera de 2025.
“Los clientes que no hayan habilitado la administración central del acceso raíz deberán registrar MFA para los usuarios raíz de su cuenta de miembro de AWS Organizations para poder acceder a la Consola de administración de AWS”, dijo Crow.
“Al igual que con nuestras expansiones anteriores a las cuentas de administración y independientes, implementaremos este cambio gradualmente y notificaremos a los clientes individuales que deben tomar medidas con anticipación, para ayudarlos a cumplir con los nuevos requisitos y minimizar el impacto en su día a día. operaciones”.
Ya no más contraseñas
Tras sus primeros éxitos con un mandato de MFA, Crow dijo que AWS estaba dispuesto a hacer más para reforzar la seguridad de sus clientes y había reconocido otra oportunidad para intentar eliminar las contraseñas innecesarias para siempre.
Dijo que, además de los problemas de seguridad habituales que se observan con las contraseñas estándar, intentar proteger la autenticación basada en contraseñas estaba introduciendo demasiada sobrecarga operativa para los clientes de AWS, especialmente aquellos que operan a escala o están sujetos a requisitos regulatorios para rotar. sus credenciales con frecuencia.
Como tal, AWS ahora ha lanzado una nueva capacidad para administrar de forma centralizada el acceso raíz para cuentas administradas en AWS Organizations, lo que les permite reducir la cantidad de contraseñas que necesitan administrar y al mismo tiempo mantener el control sobre el uso de los principales raíz.
Crow explicó que los clientes ahora pueden activar el acceso raíz centralizado con un cambio rápido de configuración, ya sea en la consola de administración de identidad y acceso o en la interfaz de línea de comandos de AWS, y luego eliminar las credenciales a largo plazo de los usuarios raíz de las cuentas miembros.
“Esto mejorará la postura de seguridad de nuestros clientes y al mismo tiempo reducirá su esfuerzo operativo”, concluyó.