《哪吒2》最好的打開方式是先把《哪吒1》再看一遍,還記得《哪吒1》中��,太乙真人負(fù)責(zé)護(hù)送寶蓮�����,讓靈珠投胎到李靖夫婦家里����。影片中����,太乙真人解鎖寶蓮時(shí)采用了兩種解鎖方式。
’第一種是輪盤�,這套系統(tǒng)看起來很復(fù)雜,實(shí)際上確實(shí)很復(fù)雜�����。他可能知道簡(jiǎn)單的密碼是安全威脅�����,所以設(shè)置了復(fù)雜密碼��,但密碼太復(fù)雜了連自己都忘了���。連續(xù)四次解鎖都失敗后�����,而第五次失敗要等到十年后才能解鎖��。
第二種方式是指紋解鎖����。所幸他第五次解鎖時(shí),突然想起來還能用指紋解鎖���,于是就打開了寶蓮���,精彩的故事才得以展開。每個(gè)人的指紋都有特殊性�����,可以方便快捷地開啟設(shè)備���,是現(xiàn)代生活移動(dòng)設(shè)備和安全系統(tǒng)廣泛采用的生物識(shí)別技術(shù)�。
《哪吒2》的結(jié)尾��,作為反派人物的無量仙翁依靠人臉識(shí)別系統(tǒng)進(jìn)入了密室����,但由于被主角暴揍后臉部特征發(fā)生變化。為了重新打開密室大門��,不得不以暴力手段調(diào)整面部特征,看到大反派被暴揍的慘叫連連����,觀眾內(nèi)心暢快,忍不住捧腹��。
生物識(shí)別技術(shù)通常是基于一些關(guān)鍵特征來進(jìn)行身份驗(yàn)證�。如果這些特征發(fā)生了顯著的變化系統(tǒng)可能無法匹配到先前注冊(cè)的數(shù)據(jù)�。雖然高質(zhì)量的生物識(shí)別系統(tǒng)通常會(huì)有一定的容忍度,但大幅度的傷害或外部干擾�,還是會(huì)影響識(shí)別精度。
單因素認(rèn)證有風(fēng)險(xiǎn)����,多因素認(rèn)證搞起來
回過頭來看,“寶蓮”和密室的安全系統(tǒng)都有問題��。無論是輸入輪盤密碼還是用指紋來解鎖寶蓮�,還是人臉識(shí)別解鎖密室,對(duì)于非常關(guān)鍵的系統(tǒng)來說都不夠安全��,因?yàn)檫@都屬于單因素認(rèn)證��。
與之相對(duì)應(yīng)的就是多因素認(rèn)證(Multi-Factor Authentication)��,如果成功輸入“寶蓮”的密碼后還需要再輸入指紋,這就屬于多因素認(rèn)證��,同時(shí)滿足兩個(gè)及以上安全認(rèn)證來提高安全性���。亞馬遜云科技的研究發(fā)現(xiàn)�,啟用MFA可以防止超過99%的密碼相關(guān)攻擊���。
亞馬遜云科技首席信息安全官(CISO)Chris Betz撰文稱:“單一的密碼設(shè)置雖能為客戶提供數(shù)字資產(chǎn)的初步保護(hù)�����,但這種做法已不足以應(yīng)對(duì)當(dāng)前的安全挑戰(zhàn)����。MFA多因素身份認(rèn)證要求用戶在訪問網(wǎng)站或應(yīng)用程序時(shí)�,除了輸入密碼外,還需提供其他驗(yàn)證信息���。盡管這一技術(shù)已發(fā)展超過20年����,但至今仍未得到普遍采用���。”
截圖:以三種方式添加多因素認(rèn)證的認(rèn)證因素
自2024年5月起�,亞馬遜云科技先是要求Amazon Organizations管理賬戶的根用戶必須使用MFA,并從處于較大規(guī)模環(huán)境的用戶開始����。7月份開始又?jǐn)U展至獨(dú)立賬戶根(root)用戶,如果用戶不注冊(cè)MFA就根本無法登錄���。
截圖:展示的是需要輸入來自Google Authenticator的臨時(shí)密碼
MFA固然提升了安全性,但也帶來了不方便��。除了輸入密碼以外���,用戶還需要手機(jī)上安裝Google Authenticator這種動(dòng)態(tài)密碼軟件��,使用時(shí)先打開軟件�����,然后在短時(shí)間內(nèi)輸入動(dòng)態(tài)密碼���,輸入速度慢了密碼就刷新了。
國(guó)內(nèi)用戶更熟悉的接收短信驗(yàn)證碼的也是MFA的一種因素���,相對(duì)來說易用性較高���。但短信可能延遲��,甚至有時(shí)候會(huì)接收不到短信驗(yàn)證碼��。由于以上這些問題����,有的用戶會(huì)因操作繁瑣而拒絕啟用MFA���。
亞馬遜提升MFA的易用性��,提高安全管理的效率
為了提升MFA的易用性�,在2024年的re:Inforce大會(huì)上�����,亞馬遜云科技宣布了Amazon IAM支持通行密鑰(Passkeys)作為第二個(gè)身份驗(yàn)證因素�����。Passkeys使用公鑰加密技術(shù)��,可實(shí)現(xiàn)比傳統(tǒng)密碼更為安全、更能抵御網(wǎng)絡(luò)釣魚攻擊的強(qiáng)身份認(rèn)證��。
Passkeys(通行密鑰)是一種新型的身份驗(yàn)證技術(shù)�,用來取代密碼和驗(yàn)證碼。它基于公鑰加密技術(shù)�,公鑰存儲(chǔ)在服務(wù)器上、私鑰存儲(chǔ)在用戶設(shè)備上���。在身份驗(yàn)證過程中���,私鑰不會(huì)離開用戶的設(shè)備,從而增強(qiáng)了安全性���,避免了密碼被泄露或被攻擊的風(fēng)險(xiǎn)。
圖:上圖展示的是在Windows上給AWS賬號(hào)創(chuàng)建通行密鑰的兩種方式
聽起來有點(diǎn)抽象�,但其實(shí),常見的蘋果全家桶�����、微軟PC以及安卓智能手機(jī)����,都可以來創(chuàng)建Passkeys��。Passkeys可以在設(shè)備間同步和備份�,用戶可以利用Passkeys來在各種設(shè)備上登錄亞馬遜云科技賬戶的IAM賬號(hào)�,更安全也更方便。
截圖:上圖展示的是可以通過谷歌密碼管理工具來共享通行密鑰
這項(xiàng)新功能不僅擴(kuò)展了現(xiàn)有的多因素認(rèn)證(MFA)功能����,還有助于提高M(jìn)FA的可用性和可恢復(fù)性。用戶可以使用一系列支持的IAM MFA方法�����,以增強(qiáng)對(duì)Amazon賬戶的訪問保護(hù)����。
亞馬遜云科技正大力推進(jìn)MFA的落地,目前已有積極進(jìn)展��。截止2024年6月����,MFA客戶注冊(cè)增長(zhǎng)了一倍有余。2024年4月到10月���,已有超過75萬名亞馬遜云科技根用戶啟用了MFA����。
在2024年11月,Amazon IAM推出一項(xiàng)新功能����,允許安全團(tuán)隊(duì)在企業(yè)中集中管理成員賬戶的根訪問權(quán)限,可集中管理和保護(hù)Amazon Organizations中所有賬戶的特權(quán)根憑證�,如刪除長(zhǎng)期高權(quán)限的root憑證,配置無需root憑證的成員賬戶等��。
對(duì)于需要進(jìn)行根訪問權(quán)限的情形����,安全團(tuán)隊(duì)也無需頻繁為其提供手動(dòng)訪問憑證,而是可以根據(jù)實(shí)際需求提供短期且具備一定任務(wù)范圍限制的根訪問權(quán)限����。這也與亞馬遜云科技的最小權(quán)限的最佳實(shí)踐保持一致�����。
