亞馬遜將從 2024 年起強制實施多重身份驗證

身份驗證仍然是CISO面臨的最艱巨的挑戰之一。對于安全領導者來說，這種長期存在的基本安全要素經常讓他們頭痛不已，因為他們需要識別和授權通常分布在不同地區、邊界和時區的用戶及設備。

身份驗證方法包括用戶知道的東西、用戶擁有的東西和用戶具有的東西。然而，并非每種身份驗證類型都是為了保護網絡而創建的。這些身份驗證方法的范圍從提供基本保護到更強的安全性。建議使用不止一種方法——多因素身份驗證(MFA)。

Synopsys CyRC發布的一份通報中已經闡明了多個無線路由器芯片組中存在的身份驗證繞過漏洞的詳細信息。被稱為CVE-2019-18989，CVE-2019-18990和CVE-2019-18991的漏洞影響跨三個制造商的不同設備中的各種芯片組：聯發科技，高通和Realtek。這些數據包隨后以有效數據包的相同方式通過網絡路由。Synopsys還詳細介紹了一個概念驗證示例，在該示例中，它通過將UDP數據包注入受WPA2保護的易受攻擊的網絡來打開路由器NAT中的UDP端口。包括已識別芯片組的接入點制造商也可以向聯發科技和Realtek請求補丁。

密碼早已經無法保證信息安全，我們需要高級安全驗證系統如果你超過10歲，你一定聽過這句話:“世界由你掌控。”這基本上意味著你能夠抓住生活提供的機會。沒有什么能比這更準確地描述當今世界的技術了。現在，如果我們對這句話稍作改動，我們也可以說“世界是你的身份認證。”

花了點時間寫了一個SpringSecurity集合JWT完成身份驗證的Demo，并按照自己的想法完成了動態權限問題。在寫這個Demo之初，使用的是SpringSecurity自帶的注解權限，但是這樣權限就顯得不太靈活，在實現之后，感覺也挺復雜的，歡迎大家給出建議。認證流程及授權流程我畫了個建議的認證授權流程圖，后面會結合代碼進行解釋整個流程。

隨著網絡安全形勢的變化，使用多重身份驗證的方式變得越來越普遍。2021年Verizon數據泄露調查報告指出，弱身份驗證是信息系統中最常見的安全問題，用戶名和密碼的組合本身就是一種不充分且易受攻擊的身份驗證方式。

VMware修復了Cloud Director設備部署中的一個嚴重身份驗證繞過漏洞，該漏洞自11月14日披露以來已兩周多沒有得到修補。Cloud Director是一個VMware平臺，使管理員能夠將分布在多個位置的數據中心作為虛擬數據中心進行管理。身份驗證繞過安全漏洞(CVE-2023-34060)僅影響運行之前從舊版本升級的VCD Appliance 10.5的設備。不過，VMware表示，這

自古以來，密碼一直是數字安全的基石。它們是我們安全基礎設施和實踐的一個重要方面，因此我們用一整天（五月的第一個星期四）致力于提高人們對設置強密碼和保持良好在線安全習慣重要性的認識。不幸的是，密碼也被認為是最大的安全薄弱環節之一。 Verizon 最近的一份報告發現，81% 的數據泄露事件都與密碼泄露有關。隨著網絡攻擊和犯罪分子變得日益復雜，采用最新的技術發展來磨練他們的技能，并且需要更強大、更安全

近日，亞馬遜網絡服務公司（AWS）表示，到2024年年中起，將要求所有特權賬戶使用多因素身份驗證（MFA），以提高默認安全性并降低賬戶被劫持的風險。