亚马逊将从 2024 年起强制实施多重身份验证

身份验证仍然是CISO面临的最艰巨的挑战之一。对于安全领导者来说，这种长期存在的基本安全要素经常让他们头痛不已，因为他们需要识别和授权通常分布在不同地区、边界和时区的用户及设备。

身份验证方法包括用户知道的东西、用户拥有的东西和用户具有的东西。然而，并非每种身份验证类型都是为了保护网络而创建的。这些身份验证方法的范围从提供基本保护到更强的安全性。建议使用不止一种方法——多因素身份验证(MFA)。

Synopsys CyRC发布的一份通报中已经阐明了多个无线路由器芯片组中存在的身份验证绕过漏洞的详细信息。被称为CVE-2019-18989，CVE-2019-18990和CVE-2019-18991的漏洞影响跨三个制造商的不同设备中的各种芯片组：联发科技，高通和Realtek。这些数据包随后以有效数据包的相同方式通过网络路由。Synopsys还详细介绍了一个概念验证示例，在该示例中，它通过将UDP数据包注入受WPA2保护的易受攻击的网络来打开路由器NAT中的UDP端口。包括已识别芯片组的接入点制造商也可以向联发科技和Realtek请求补丁。

密码早已经无法保证信息安全，我们需要高级安全验证系统如果你超过10岁，你一定听过这句话:“世界由你掌控。”这基本上意味着你能够抓住生活提供的机会。没有什么能比这更准确地描述当今世界的技术了。现在，如果我们对这句话稍作改动，我们也可以说“世界是你的身份认证。”

花了点时间写了一个SpringSecurity集合JWT完成身份验证的Demo，并按照自己的想法完成了动态权限问题。在写这个Demo之初，使用的是SpringSecurity自带的注解权限，但是这样权限就显得不太灵活，在实现之后，感觉也挺复杂的，欢迎大家给出建议。认证流程及授权流程我画了个建议的认证授权流程图，后面会结合代码进行解释整个流程。

随着网络安全形势的变化，使用多重身份验证的方式变得越来越普遍。2021年Verizon数据泄露调查报告指出，弱身份验证是信息系统中最常见的安全问题，用户名和密码的组合本身就是一种不充分且易受攻击的身份验证方式。

VMware修复了Cloud Director设备部署中的一个严重身份验证绕过漏洞，该漏洞自11月14日披露以来已两周多没有得到修补。Cloud Director是一个VMware平台，使管理员能够将分布在多个位置的数据中心作为虚拟数据中心进行管理。身份验证绕过安全漏洞(CVE-2023-34060)仅影响运行之前从旧版本升级的VCD Appliance 10.5的设备。不过，VMware表示，这

自古以来，密码一直是数字安全的基石。它们是我们安全基础设施和实践的一个重要方面，因此我们用一整天（五月的第一个星期四）致力于提高人们对设置强密码和保持良好在线安全习惯重要性的认识。不幸的是，密码也被认为是最大的安全薄弱环节之一。 Verizon 最近的一份报告发现，81% 的数据泄露事件都与密码泄露有关。随着网络攻击和犯罪分子变得日益复杂，采用最新的技术发展来磨练他们的技能，并且需要更强大、更安全

近日，亚马逊网络服务公司（AWS）表示，到2024年年中起，将要求所有特权账户使用多因素身份验证（MFA），以提高默认安全性并降低账户被劫持的风险。