提升 AWS 用戶登入安全性與便捷性： 多因素身份驗證 (MFA) 整合生物識別技術 (FIDO)

什麼是多因素驗證 (MFA)？

多因素驗證 (MFA) 是一種登入保護機制，需要使用者提供多個不同的驗證方式來確認身份。除了輸入密碼，使用者還可能需要：

• 輸入發送到手機的驗證碼
• 掃描指紋或面部
• 回答安全問題

這樣即使密碼被盜用，未經授權的用戶也很難登入帳戶。

為什麼需要多因素驗證？

在現代數位世界，線上儲存的敏感資訊需要更高的安全保護。單一密碼的保護不夠可靠，因為網路罪犯可能會找到並濫用這些密碼。MFA 增加了額外的安全層，即使密碼被盜，也能防止未經授權的存取。

多因素驗證的優勢

• 降低安全風險：減少因密碼遺失或裝置被盜引起的風險。

• 支持數位計畫：企業可以更安全地進行線上互動和交易。
• 改善安全回應：在偵測到可疑登入時發送警報，幫助快速應對網路攻擊。

透過多因素驗證，企業和個人都可以更有效地保護他們的數位資產。

什麼是 FIDO？

FIDO 全稱為 Fast IDentity Online，是一種技術標準，旨在提供跨網站和應用的快速且安全的登入方式。

隨著數位科技的發展，人們需要記住的密碼越來越多，而且每個服務的密碼規則也不同，這不僅繁瑣，還增加了帳號或資料被盜取的風險。FIDO 技術標準的出現，就是為了解決這些問題。

FIDO 通過簡化身份驗證流程，使用更安全的方式來保護用戶帳戶。例如，用戶可以透過生物特徵（如指紋或面部識別）註冊一組安全鑰匙，這把鑰匙可以用來登入各種網站和應用程式，使得身份驗證過程更加便捷和安全，無需記住繁複的密碼組合。

FIDO 支持的這種方式不僅提高了用戶體驗，還大大增強了帳戶的安全性。

為 AWS 使用者啟用金鑰 MFA

這裡以 IAM 使用者來做示範，導覽列前往 AWS Identity and Access Management (IAM)，選擇一位用戶，然後將頁面向下捲動到多重身份驗證 (MFA)部分。選擇指派 MFA 設備。

輸入 MFA device name，並選擇 Passkey or security key

瀏覽器會彈出並詢問您是否要使用該應用程式產生和儲存密鑰。
在此示範中，我選擇使用手機、平板電腦。

瀏覽器向我顯示一個二維碼。

然後，我用手機掃描二維碼。手機使用 Face ID 對我進行身份驗證，並產生並儲存金鑰。

完成綁定

測試登入，系統要求我用手機掃描二維碼。掃描後，手機會使用 Face ID 對我進行身份驗證以解鎖登入

可以正常登入

此方式大增加登入安全性與便捷性，

這裡強烈建議大家為您的 Root 和 IAM 使用者提供 MFA 金鑰驗證

[1] 什麼是多重要素驗證 (MFA)？
https://aws.amazon.com/tw/what-is/mfa/
[2] FIDO Alliance
https://en.wikipedia.org/wiki/FIDO_Alliance
[3] FIDO Authentication
https://fidoalliance.org/fido2/