7月29日，亚马逊云科技始终致力于为客户提供最安全的工作负载运行环境，持续在云中引领安全设计(security by design)和默认安全的最佳实践。亚马逊云科技现已通过支持FIDO2(Fast IDentity Online线上快速身份验证标准)passkeys(通行密钥)进行MFA(multi-factor authentication)多因素认证，来进一步增强客户强认证选择。Passkeys为客户提供了一种既高度安全又易于使用的MFA多因素认证启用方式。

　　为帮助客户满足MFA多因素认证需求，提升基础安全防护，亚马逊云科技宣布支持FIDO2 Passkeys。Amazon IAM(Amazon Identity and Access Management)现已支持使用Passkeys作为第二个身份验证因素，为用户多个设备提供更简单、更安全的登录。全球目前已经有数十亿台电脑和移动设备使用Passkeys，用户仅需利用设备内置的安全机制如指纹识别、面部识别或个人识别码(PIN)即可实现。举例来说，用户可以将iPhone上的Apple Touch ID或笔记本电脑上的Windows Hello设置为认证工具，随后在登录亚马逊云科技控制台时，无论是在手机、平板还是其他任何设备上，都可使用同一方式作为MFA多因素认证的认证方式。

　　什么是Passkeys?

　　Passkeys这一新术语实际是对一项成熟技术的新命名。Passkeys是基于FIDO2的标准认证凭据，是一种利用公钥密码学原理提供一种强大且能有效抵御网络钓鱼攻击的身份认证方式。可同步的Passkeys是FIDO2凭证服务的一次重大进步，目前很多领先的提供商包括苹果、1Password、谷歌、Dashlane、微软等均提供支持。与传统的将密钥存储于物理设备如基于USB的密钥不同，FIDO密钥的更新允许用户将密钥信息在不同设备和操作系统间进行备份和同步。

　　这些更新可显著改善用户的使用体验，特别是那些看重易用性和账户恢复能力的用户，同时用户无需对FIDO2标准本身进行任何更改。Passkeys具有FIDO2自推出以来就拥有的基于核心密码学的安全性和强大的抗网络钓鱼能力。亚马逊云科技是FIDO联盟的一员，与FIDO始终保持着紧密合作，致力于推动认证技术的持续提升。亚马逊云科技很高兴将FIDO技术的全新体验带给客户，它在易用性和安全性之间实现了良好的平衡。

　　Passkeys适用于哪些用户?

　　我们首先应明确一个观点：采用任何形式的MFA多因素认证都远胜于不使用。MFA多因素认证是一种应用简便且极其有效的账户安全保护措施，每个人都应该采用某些形式的MFA多因素认证。当然，在选择适合个人或企业部署的MFA多因素认证类型时，了解各种MFA选项之间的主要区别至关重要。

　　亚马逊云科技建议客户采用能够抵御网络钓鱼攻击的MFA多因素认证方式，包括Passkeys在内的各类FIDO2身份验证。近年来，随着基于凭证的攻击的增加，尤其是针对那些依赖一次性密码(OTP)作为MFA多因素认证方式的用户，网络钓鱼和社会工程学攻击也变得越来越频繁。举例来说，一次性密码设备用户在认证过程中需手动读取并输入设备上显示的PIN码，这为不法分子提供了可乘之机，他们可能会诱骗用户透露一次性密码，从而削弱MFA多因素认证的防护效果。Passkeys不仅在安全性上明显超越了单一密码认证，同时它也像其它任何类型的MFA多因素认证一样，在多数情况下，比基于一次性密码的MFA更易于使用，也更安全。这也是Passkeys作为"安全设计"(Secure by Design)策略中关键一环的原因所在，它强调了易用性在构建有效安全防护中的重要性。为此，Passkeys是大多数用户的理想之选，在用户体验和安全性之间取得平衡。在安全领域，能够实现更高安全性同时还能易于使用的安全机制并不多见，但与一次性密码的MFA相比，Passkeys正是这样的例外。

　　如果用户目前已经采用了其他类型的MFA多因素认证方式，例如非同步的FIDO2硬件安全密钥或认证应用，是否转向使用可同步的Passkeys，需要基于用户或其企业的具体需求和使用场景来决定。由于FIDO2硬件安全密钥凭证仅与生成它们的设备绑定，所以能够为那些面临严格法规或安全标准要求的用户——例如需要FIPS认证的设备，提供了最高等级的安全保障。同时，了解Passkeys提供商的安全模式也至关重要，包括提供商对于访问或恢复密钥库访问权限所设置的要求。这些因素构成了用户整体安全策略的一部分，决定了未来选择部署或使用哪种MFA多因素认证方式。

　　提升多因素认证的应用，共筑安全防线

　　使用MFA多因素认证是提升账户安全性最有效且简便的方法之一。作为MFA多因素认证的形式之一，Passkeys以其友好的用户体验和增强的安全性，为用户认证提供了强有力的保障。用户现在就可以注册并启用Passkeys，提升对亚马逊云科技控制台的访问安全性。亚马逊云科技强烈建议用户在任何需要登录的场景中都采用某些形式的MFA多因素认证，尤其是那些能够抵御网络钓鱼攻击的MFA。亚马逊云科技对通过支持FIDO2 Passkeys来进一步强化这些安全措施。