SEC02-BP01 使用強式登入機制
強制執行密碼長度下限,並教育使用者避免使用常見密碼或重複使用密碼。透過軟體或硬體機制強制使用 Multi-Factor Authentication (MFA),以提供額外的驗證保護層。例如,使用 IAM Identity Center 作為身份來源時,請進行 MFA 的「內容感知」或「永遠啟用」設定,並允許使用者註冊自己的 MFA 裝置以加速採用。使用外部身份提供者 (IdP) 時,設定您的 MFA 的 IdP。
若未建立此最佳實務,暴露的風險等級: 高
實作指引
-
建立 Identify and Access Management (IAM) 政策來強制執行 MFA 登入:建立一個客戶管理的 IAM 政策,禁止所有 IAM 動作,除了允許使用者在下列頁面上假設角色、變更自己的登入資料,以及管理 MFA 裝置: My Security Credentials (我的安全登入資料)。
-
在您的身分供應商中啟用 MFA:在您使用的身分供應商或單一登入服務中啟用 MFA
,例如 AWS IAM Identity Center。 -
設定強式密碼政策:將強式 密碼政策 設定於 IAM 和聯合身分系統中,以協助防範暴力密碼破解攻擊。
-
定期輪換登入資料:確保工作負載的管理員會定期變更其密碼和存取金鑰 (若使用)。
資源
相關文件:
相關影片:
