Multi-Factor Authentication
NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.
Pueden implementar tokens virtuales gratuitos como Authy, Duo Mobile, LastPass Authenticator, Google Authenticator, o Microsoft Authenticator.
Es sencillo habilitar MFA en root e IAM users:
- Funcionalidades MFA: https://aws.amazon.com/iam/features/mfa/
- Habilitación de MFA: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html
- Habilitar MFA refuerza el proceso de “Olvido de contraseña” ya que agrega una llamada con un One Time Password (OTP) por voz adicionalmente al OTP que llega al correo electrónico, para poder quitar el MFA.
Es sencillo habilitar MFA en AWS IAM Identity Center (sucesor de AWS Single Sign-On):
Es sencillo habilitar MFA en Amazon Cognito para la autenticación de los usuarios de sus aplicaciones (CIAM)
MFA para todos
Por razones de seguridad, es recomendable utilizar la autenticación multifactor para todos los usuarios, comenzando por los usuarios root y privilegiados, pero idealmente para todos ellos.
MFA en todas partes
Por razones de seguridad, es recomendable utilizar autenticación multifactor en cada autenticación de usuario. Si esto afecta la experiencia del usuario y no es aceptable en su organización, la autenticación contextual (o autenticación adaptativa) es una buena opción, ya que solicitará MFA solo cuando el dispositivo haya cambiado o provenga de un país diferente, o haya algún comportamiento anómalo (esta funcionalidad está soportada en AWS IAM Identity Center (successor to AWS Single Sign-On) y en Amazon Cognito ).
Well Architected Framework - Recomendación relacionada
- SEC02-BP01 Use strong sign-in mechanisms
Mitigación de riesgos
- [Acceso a credenciales] - Los actores de amenazas utilizan múltiples técnicas para obtener contraseñas (adivinación de contraseñas, registradores de pulsaciones de teclas, fuerza bruta, ataques de diccionario); cuando se utiliza un dispositivo MFA, “algo que TIENES” agrega una capa adicional de protección que frustra su progreso.
Guía para evaluar su grado de alineación
- ¿Está MFA habilitado en TODAS sus cuentas raíz? (o está habilitado en la raíz-org y todas las demás raíces están deshabilitadas con SCP)
- ¿Los dispositivos MFA están correctamente asegurados en una ubicación con cerraduras? (¿O son accesibles para el personal, como el conserje?)
- ¿Su proveedor de identidad está configurado para requerir MFA para sus empleados? ¿Cómo?
- ¿Tiene usuarios de IAM sin MFA configurado? (nota: Evite el uso de credenciales duraderas como usuarios de IAM)
- ¿MFA está habilitado para sus clientes en sus aplicaciones o tareas críticas (CIAM)?
Precios
No tiene costo adicional por el uso de MFA en usurios de AWS. Tampoco tiene costo adicional el uso de MFA en Cognito.
Si quiere utilizar un dispositivo MFA físico, tendrá que comprar uno compatible con AWS MFA, de los proveedores externos Gemalto o Yubico. Para obtener más detalles, visite el sitio web de Yubico o el de Gemalto.