作为蛇年贺岁档电影的最大赢家,《哪吒2》凭借高质量制作与特效突破、完整的故事叙事、密集不断的笑点以及与社会情绪的强烈共鸣,以100多亿的票房收入,成为中国电影史上票房最高的电影。
一场密码安全管理的科普大戏
作为大年初二就欣赏了这部佳作的影迷,我从安全的视角审视《哪吒1》和《哪吒2》后发现,这两部电影其实在无意间,以轻松幽默的方式,为我们呈现了一场关于密码安全管理的科普大戏。
《哪吒2》最好的打开方式是先把《哪吒1》再看一遍,还记得《哪吒1》中,太乙真人负责护送宝莲,让灵珠投胎到李靖夫妇家里。影片中,太乙真人解锁宝莲时采用了两种解锁方式。
’第一种是轮盘,这套系统看起来很复杂,实际上确实很复杂。他可能知道简单的密码是安全威胁,所以设置了复杂密码,但密码太复杂了连自己都忘了。连续四次解锁都失败后,而第五次失败要等到十年后才能解锁。
第二种方式是指纹解锁。所幸他第五次解锁时,突然想起来还能用指纹解锁,于是就打开了宝莲,精彩的故事才得以展开。每个人的指纹都有特殊性,可以方便快捷地开启设备,是现代生活移动设备和安全系统广泛采用的生物识别技术。
《哪吒2》的结尾,作为反派人物的无量仙翁依靠人脸识别系统进入了密室,但由于被主角暴揍后脸部特征发生变化。为了重新打开密室大门,不得不以暴力手段调整面部特征,看到大反派被暴揍的惨叫连连,观众内心畅快,忍不住捧腹。
生物识别技术通常是基于一些关键特征来进行身份验证。如果这些特征发生了显著的变化系统可能无法匹配到先前注册的数据。虽然高质量的生物识别系统通常会有一定的容忍度,但大幅度的伤害或外部干扰,还是会影响识别精度。
单因素认证有风险,多因素认证搞起来
回过头来看,“宝莲”和密室的安全系统都有问题。无论是输入轮盘密码还是用指纹来解锁宝莲,还是人脸识别解锁密室,对于非常关键的系统来说都不够安全,因为这都属于单因素认证。
与之相对应的就是多因素认证(Multi-Factor Authentication),如果成功输入“宝莲”的密码后还需要再输入指纹,这就属于多因素认证,同时满足两个及以上安全认证来提高安全性。亚马逊云科技的研究发现,启用MFA可以防止超过99%的密码相关攻击。
亚马逊云科技首席信息安全官(CISO)Chris Betz撰文称:“单一的密码设置虽能为客户提供数字资产的初步保护,但这种做法已不足以应对当前的安全挑战。MFA多因素身份认证要求用户在访问网站或应用程序时,除了输入密码外,还需提供其他验证信息。尽管这一技术已发展超过20年,但至今仍未得到普遍采用。”
自2024年5月起,亚马逊云科技先是要求Amazon Organizations管理账户的根用户必须使用MFA,并从处于较大规模环境的用户开始。7月份开始又扩展至独立账户根(root)用户,如果用户不注册MFA就根本无法登录。
MFA固然提升了安全性,但也带来了不方便。除了输入密码以外,用户还需要手机上安装Google Authenticator这种动态密码软件,使用时先打开软件,然后在短时间内输入动态密码,输入速度慢了密码就刷新了。
国内用户更熟悉的接收短信验证码的也是MFA的一种因素,相对来说易用性较高。但短信可能延迟,甚至有时候会接收不到短信验证码。由于以上这些问题,有的用户会因操作繁琐而拒绝启用MFA。
亚马逊提升MFA的易用性,提高安全管理的效率
为了提升MFA的易用性,在2024年的re:Inforce大会上,亚马逊云科技宣布了Amazon IAM支持通行密钥(Passkeys)作为第二个身份验证因素。Passkeys使用公钥加密技术,可实现比传统密码更为安全、更能抵御网络钓鱼攻击的强身份认证。
Passkeys(通行密钥)是一种新型的身份验证技术,用来取代密码和验证码。它基于公钥加密技术,公钥存储在服务器上、私钥存储在用户设备上。在身份验证过程中,私钥不会离开用户的设备,从而增强了安全性,避免了密码被泄露或被攻击的风险。
听起来有点抽象,但其实,常见的苹果全家桶、微软PC以及安卓智能手机,都可以来创建Passkeys。Passkeys可以在设备间同步和备份,用户可以利用Passkeys来在各种设备上登录亚马逊云科技账户的IAM账号,更安全也更方便。
这项新功能不仅扩展了现有的多因素认证(MFA)功能,还有助于提高MFA的可用性和可恢复性。用户可以使用一系列支持的IAM MFA方法,以增强对Amazon账户的访问保护。
亚马逊云科技正大力推进MFA的落地,目前已有积极进展。截止2024年6月,MFA客户注册增长了一倍有余。2024年4月到10月,已有超过75万名亚马逊云科技根用户启用了MFA。
在2024年11月,Amazon IAM推出一项新功能,允许安全团队在企业中集中管理成员账户的根访问权限,可集中管理和保护Amazon Organizations中所有账户的特权根凭证,如删除长期高权限的root凭证,配置无需root凭证的成员账户等。
对于需要进行根访问权限的情形,安全团队也无需频繁为其提供手动访问凭证,而是可以根据实际需求提供短期且具备一定任务范围限制的根访问权限。这也与亚马逊云科技的最小权限的最佳实践保持一致。
