A Amazon Web Services (AWS) exigirá que todas as contas privilegiadas usem autenticação multifator (MFA) para uma proteção mais forte contra sequestros de contas que levem a violações de dados, a partir de meados de 2024. A autenticação multifator fornece uma camada extra de segurança para impedir o acesso não autorizado, mesmo que os invasores roubem as credenciais de uma conta.
A AWS oferece chaves de segurança MFA gratuitas para clientes qualificados nos Estados Unidos desde 2021 e adicionou opções de MFA mais flexíveis na plataforma em novembro do ano passado, permitindo o registro de até oito dispositivos MFA por conta.
Não usar o MFA para proteger ativos de nuvem pode resultar em acesso não autorizado, comprometimento de dados confidenciais armazenados nos serviços da AWS, perda de disponibilidade do serviço devido a modificações maliciosas de configurações ou exclusão de recursos essenciais e muito mais.
A AWS decidiu que a abordagem mais simples para mitigar esses riscos e diminuir a superfície de ataque na nuvem seria impor a MFA, começando pela categoria mais crítica de usuários. “A partir de meados de 2024, os clientes que fizerem login no console de gerenciamento da AWS com o usuário raiz de uma conta de gerenciamento do AWS Organizations serão necessários para permitir que a MFA prossiga”, diz o anúncio da empresa.
“Os clientes que precisarem habilitar o MFA serão notificados sobre a próxima alteração por meio de vários canais, incluindo um prompt quando entrarem no console.”
A AWS também disse que esse requisito será expandido para contas adicionais e cenários de caso de uso à medida que lançam novos recursos que tornarão a adoção e o gerenciamento de MFA em escala mais fáceis.
Veja isso
Ataques por telefone e phishing MFA tiveram alta em 2022
AWS diz que sistema chamariz interno bloqueou APTs e botnets
Por fim, a empresa recomenda que os clientes escolham tecnologias MFA resistentes a phishing, como chaves de segurança, embora os aplicativos de autenticação MFA também funcionem. As chaves de segurança em conformidade com os padrões FIDO U2F ou FIDO2/WebAuthn são inerentemente resistentes a proxy reverso e ataques man-in-the-middle que estão em ascensão agora. Ataque man-in-the-middle — ou adversary-in-the-middle (AiTM), como também são conhecidos — é uma técnica de ciberataque em que o criminoso age como um intermediário entre a vítima e um site de banco ou mesmo outros usuários, por exemplo.
Durante a autenticação, a chave de segurança responde aos desafios enviados pelo servidor usando sua chave privada, ao mesmo tempo em que verifica a origem do site. Se houver uma incompatibilidade de origem, possivelmente de um ataque de proxy reverso, a chave não assinará o desafio, impedindo a interceptação de segredos valiosos.
Para obter mais informações sobre o suporte a MFA na AWS e orientações sobre como configurar a proteção para sua conta, consulte a página do guia do usuário da Amazon.