Multi-Factor Authentication
Pueden implementar tokens virtuales gratuitos como Authy, Duo Mobile, LastPass Authenticator, Google Authenticator, o Microsoft Authenticator.
Es sencillo habilitar MFA en root e IAM users:
- Funcionalidades MFA: https://aws.amazon.com/iam/features/mfa/
- Habilitación de MFA: https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html
- Habilitar MFA refuerza el proceso de “Olvido de contraseña” ya que agrega una llamada con un One Time Password (OTP) por voz adicionalmente al OTP que llega al correo electrónico, para poder quitar el MFA.
Es sencillo habilitar MFA en AWS IAM Identity Center (sucesor de AWS Single Sign-On):
Es sencillo habilitar MFA en Amazon Cognito para la autenticación de los usuarios de sus aplicaciones (CIAM)
MFA para todos
Por razones de seguridad, es recomendable utilizar la autenticación multifactor para todos los usuarios, comenzando por los usuarios root y privilegiados, pero idealmente para todos ellos.
MFA en todas partes
Por razones de seguridad, es recomendable utilizar autenticación multifactor en cada autenticación de usuario. Si esto afecta la experiencia del usuario y no es aceptable en su organización, la autenticación contextual (o autenticación adaptativa) es una buena opción, ya que solicitará MFA solo cuando el dispositivo haya cambiado o provenga de un país diferente, o haya algún comportamiento anómalo (esta funcionalidad está soportada en AWS IAM Identity Center (successor to AWS Single Sign-On) y en Amazon Cognito ).
Well Architected Framework - Recomendación relacionada
- SEC02-BP01 Use strong sign-in mechanisms
Precios
No tiene costo adicional por el uso de MFA en usurios de AWS. Tampoco tiene costo adicional el uso de MFA en Cognito.
Si quiere utilizar un dispositivo MFA físico, tendrá que comprar uno compatible con AWS MFA, de los proveedores externos Gemalto o Yubico. Para obtener más detalles, visite el sitio web de Yubico o el de Gemalto.