A Amazon vai tornar o MFA obrigatório para contas 'root' da AWS até meados de 2024
6 de Outubro de 2023

A Amazon exigirá que todas as contas privilegiadas da AWS (Amazon Web Services) utilizem autenticação de múltiplos fatores (MFA) para uma proteção mais forte contra sequestro de contas levando a violações de dados, a partir de meados de 2024.

A autenticação de múltiplos fatores oferece uma camada extra de segurança para prevenir o acesso não autorizado, mesmo se os atacantes roubarem as credenciais de uma conta.

A Amazon tem oferecido chaves de segurança MFA gratuitas para clientes elegíveis do AWS nos Estados Unidos desde 2021 e adicionou mais opções de MFA flexíveis na plataforma em novembro de 2022, permitindo o registro de até 8 dispositivos MFA por conta.

Não usar MFA para proteger ativos na nuvem pode resultar em acesso não autorizado, comprometimento de dados sensíveis armazenados nos serviços AWS, perda de disponibilidade de serviço devido à modificação maliciosa de configurações ou a exclusão de recursos essenciais, e mais.

A Amazon decidiu que a abordagem mais direta para mitigar esses riscos e diminuir a superfície de ataque na AWS seria impor o MFA, começando pela categoria de usuários mais crítica.

"A partir de meados de 2024, os clientes ao entrar no console de gerenciamento AWS com o usuário raiz de uma conta de gerenciamento das organizações AWS serão obrigados a habilitar o MFA para prosseguir," lê-se no anúncio da Amazon.

"Os clientes que devem habilitar o MFA serão notificados da próxima mudança por vários canais, incluindo um prompt quando eles entram no console."

A Amazon também disse que essa exigência será expandida para contas adicionais e cenários de uso à medida que eles lançam novos recursos que tornarão a adoção e a gestão de MFA em escala mais fácil.

Finalmente, a Amazon recomenda que os clientes escolham tecnologias de MFA resistentes a phishing, como chaves de segurança, embora aplicativos de autenticação MFA também funcionem.

As chaves de segurança que atendem aos padrões FIDO U2F ou FIDO2/WebAuthn são naturalmente resistentes a ataques de proxies reversos e man-in-the-middle que estão em alta no momento.

Durante a autenticação, a chave de segurança responde a desafios enviados pelo servidor usando sua chave privada enquanto também verifica a origem do site.

Se houver uma incompatibilidade de origem, possivelmente de um ataque de proxy reverso, a chave não assinará o desafio, evitando a interceptação de segredos valiosos.

Para obter mais informações sobre suporte MFA na AWS e orientações para configurar proteção para sua conta, confira a página de orientações para usuários da Amazon.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...