作者:Andrew Shikiar,FIDO Alliance 执行董事兼首席营销官
亚马逊、苹果、谷歌、Microsoft和IBM的领导人上周在白宫会见了乔·拜登总统,讨论了政府和私营部门可以共同用来改善国家网络安全的战略。
会议结束后,亚马逊宣布将为符合条件的 AWS 客户提供免费的 FIDO 安全密钥。 这不仅可以保护在 AWS 上运行的迅速增长的企业数量,还有助于灌输更好的身份验证实践,因为这些密钥可用于许多其他业务(例如 G Suite、Github、Dropbox、Stripe)和消费者(Facebook、Twitter、Coinbase、Bank of America)服务。
多年来,亚马逊一直是 FIDO 联盟的主要利益相关者——很高兴看到他们的领导地位扩展到整个市场。 随着越来越多的企业迁移到云,云服务提供商也必须效仿以保护这一关键基础设施。 威胁和攻击者越来越复杂,其影响是不容小觑的。 数以亿计的个人记录在暗网上被盗和转售,其频率令人震惊。 这对我们的经济、国家安全和社会构成了明显而现实的威胁。
很难说出过去五年中与被盗凭据无关的违规行为。
最近一次针对Colonial Pipeline的攻击,使用 了一个被盗的密码 ,基本上削弱了美国东海岸。
重要的是,所有企业都应采取措施教育和保护其员工和客户免受此类威胁。 多因素身份验证的“传统”方法(例如 OTP)根本不适合防止这些攻击的目的,这些攻击可能会在财务上削弱公司或组织。
最终,如果帐户受到 FIDO 身份验证的保护,则不可能发生基于凭据的违规行为(如 Colonial Pipeline),这需要本地拥有没有通过网络传递的基于知识的身份验证凭据的设备。
自成立以来,FIDO联盟已经走过了漫长的道路。 最初是白板的概念,现在已经发展成为网络DNA的一部分的技术。 现在,几乎每个平台和设备都可以支持 FIDO 身份验证,并且有公共 SDK 和工具,以及丰富的 FIDO 认证供应商产品和服务生态系统,可以帮助公司为其网站和应用程序实施 FIDO。
亚马逊提供免费FIDO安全密钥的举动树立了一个有力且重要的榜样。 我们鼓励所有其他云服务提供商紧急考虑效仿,至少启用 FIDO 身份验证器以管理员访问网络。