As chaves de acesso (FIDO2) chegaram ao Amazon Web Services (AWS) para reforçar a autenticação de dois fatores (MFA) na plataforma de nuvem.
Essa nova autenticação será aplicada como padrão, inicialmente para todos os usuários root da AWS e que não estão associados em uma conta do AWS Organizations, até o final de julho de 2024.
Com isso, a AWS pretende aumentar a segurança das contas, proporcionar sincronicidade entre plataformas e proteger contra diversas ameaças, incluindo ataques de força bruta.
O que é FIDO2?
FIDO2 é um padrão de autenticação desenvolvido pela FIDO Alliance, que permite login seguro em serviços online utilizando criptografia de chave pública.
As chaves de acesso FIDO2 podem ser usadas em combinação com métodos biométricos (como Touch ID da Apple e Windows Hello), dispositivos de segurança USB, ou outras formas de autenticação.
O que é chave de acesso ou chave de segurança?
As chaves de acesso são um tipo de dispositivo de autenticação multifator (MFA) que você pode usar para proteger seus recursos da AWS.
A AWS é compatível com chaves de acesso sincronizadas e chaves de acesso vinculadas a dispositivo, também conhecidas como chaves de segurança.
Quais dispositivos e métodos de autenticação são compatíveis?
- Apple Touch ID;
- Windows Hello;
- Dispositivos de segurança USB;
- Outros métodos biométricos compatíveis, como celulares e tablets.
Quais são os benefícios?
- Maior segurança: Proteção contra phishing, ataque de força bruta e outros ataques.
- Facilidade de uso: Login com um único gesto, como uma impressão digital ou conexão de um hardware na porta USB do computador local.
- Compatibilidade: Funciona em várias plataformas e dispositivos.
Existe alguma desvantagem?
- Preço: A aquisição de uma chave de acesso física, como um Yubikey no Brasil, é caro.
- Hardware fácil de perder: Por ser pequeno, ele é fácil de ser esquecido no escritório ou em casa. Porém no mercado existem acessórios para prendê-lo em seu molho de chaves.
Habilitar o MFA na sua conta AWS
Passo-a-passo para habilitar MFA em um usuário IAM?
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.
No painel de navegação, escolha Usuários.
Em Usuários, escolha o nome do usuário para o qual deseja habilitar a MFA.
Na página do usuário do IAM selecionado, escolha a guia Credenciais de segurança.
Em Multi-Factor Authentication (MFA) (autenticação multifator [MFA]), escolha Assign MFA device (Atribuir dispositivo de MFA).
Na página de nome do dispositivo de MFA, insira o nome do dispositivo, escolha Chave de acesso ou Chave de segurança e, em seguida, escolha Avançar.
Em Configurar dispositivo, configure sua chave de acesso. Crie uma chave de acesso com dados biométricos, como seu rosto ou impressão digital, com um pin do dispositivo ou inserindo a chave de segurança FIDO na porta USB do seu computador e tocando nela.
Siga as instruções no seu navegador e escolha Continuar.
Passo-a-passo para habilitar MFA em um usuário ROOT?
- Use o ID ou o alias da conta da AWS, o nome de usuário do IAM e a senha para fazer login no console do IAM.
- No canto superior direito da barra de navegação, escolha seu nome de usuário e selecione Security credentials (Credenciais de segurança).
Na página do usuário do IAM selecionado, escolha a guia Credenciais de segurança.
Em Multi-Factor Authentication (MFA) (autenticação multifator [MFA]), escolha Assign MFA device (Atribuir dispositivo de MFA).
Na página de nome do dispositivo de MFA, insira o nome do dispositivo, escolha Chave de acesso ou Chave de segurança e, em seguida, escolha Avançar.
Em Configurar dispositivo, configure sua chave de acesso. Crie uma chave de acesso com dados biométricos, como seu rosto ou impressão digital, com um pin do dispositivo ou inserindo a chave de segurança FIDO na porta USB do seu computador e tocando nela.
Siga as instruções no seu navegador e escolha Continuar.
Conclusão
As chaves de acesso FIDO2 representam um grande avanço na segurança das contas AWS, proporcionando uma autenticação mais segura e conveniente.
Com a implementação obrigatória de MFA até julho de 2024 para todos os usuários raiz que não estão associados a uma conta no AWS Organizations, é crucial que os usuários comecem a adotar essas novas medidas de segurança o quanto antes.
Particularmente, substituí meu MFA de gerador de código por uma chave de acesso com biometria facial em minhas contas do IAM. A facilidade de uso desta autenticação multifator, além de ser rápida, é mais simples e conveniente.
E você, aguardará até o final de julho de 2024 para a imposição do uso do MFA da AWS no seu usuário root ou associará o acesso multifator com as chaves de acesso o quanto antes?
