44 millioner Microsoft- og Azure-brugere bruger fortsat brudte adgangskoder, nye undersøgelsesresultater
Onlinevirksomheder og -tjenester udsættes dagligt for legitimationsstoppningsangreb, og konsekvenserne er ofte ret alvorlige. Truslen truer, og sikkerhedsspecialister vil ikke holde op med at tale om den. Der er helt klart noget, der skal gøres, og for at kunne bedre forstå, hvad der foregår, undersøger sikkerhedsleverandører folks adgangsadministrationsvaner. Desværre, jo mere de gør det, desto mere er vi klar over, at legitimationsopfyldning sandsynligvis ikke forsvinder snart.
Tidligere i år, for eksempel, eksperter fra Microsoft forsøgte at lære mere om, hvad folk gør for at beskytte deres Azure-konti, og efter at have gennemgået deres fund, kan vi drage to store konklusioner. Den første er, at det aldrig har været nemmere at trække et vellykket udfyldningsangreb til legitimation. Den anden er, at brugerne ikke er helt klar over, hvor forfærdelige konsekvenserne kan være.
Mere end 44 millioner Microsoft-kunder viste sig at bruge tidligere kompromitterede adgangskoder
Microsofts undersøgelse begyndte i januar 2019, da eksperterne tog en samling af 3 milliarder brugernavn og adgangskodepar stjålet fra forskellige onlinetjenester og platforme. De testede dem derefter mod en liste med legitimationsoplysninger, der var blevet oprettet af Azure AD- og Microsoft Services-brugere og fandt en match til over 44 millioner konti.
Med andre ord, tilbage i første kvartal af dette år kunne enhver, der havde adgang til de 3 milliarder stjålne loginoplysninger, let have overtaget kontiene for mere end 44 millioner mennesker. Dette lyder næsten for skræmmende til at være sandt, og vi er temmelig sikre på, at nogle af jer allerede har rejst en finger i indsigelse. De siger måske, at det ville være næsten umuligt at få fat i 3 milliarder brugernavn og adgangskodekombinationer for din almindelige cybercrook. Desværre er dette langt fra sandheden.
Stjålne loginoplysninger sælges på mørke webmarkeder og hackingfora for jordnødder, og for nylig begik en cyberkriminel gruppe en simpel konfigurationsfejl og viste, at nogle gange alt det, der står mellem en hacker og en massiv stash login-data, er en simpel søgeforespørgsel.
Alt i alt er det overhovedet ikke særligt vanskeligt at organisere et legitimationsudstoppningsangreb i denne dag og alder, og brugernes uagtsomhed over for adgangskodesikkerhed betyder, at det efter al sandsynlighed vil være meget effektiv. Men hvad kan vi gøre for at ændre dette?
Microsoft tvinger en nulstilling af adgangskode til kunder, der bruger kompromitterede adgangskoder
Efter at have set tallene tvang Microsoft straks en nulstilling af adgangskode til alle mennesker, der havde brugt kompromitterede legitimationsoplysninger. Ved at ugyldiggøre de overtrådte adgangskoder, satte det en temmelig stor hindring foran enhver, der forsøger at montere et legitimationsstopangreb på Azure-brugere. Desværre kan dette aldrig være nok til at løse problemet fuldstændigt.
For en, som en anden nylig undersøgelse viser, har omkring halvdelen af mennesker en tendens til let at ændre deres gamle adgangskoder, når de bliver tvunget til at opdatere dem. Og selv hvis de gennemgår problemer med at oprette en ny adgangskode, er chancerne for, at de derefter fortsætter og genbruger det på andre konti.
Credential stuffing er afhængig af dårlig adgangskodestyring, og fakta viser, at folk simpelthen ikke ved, hvordan de skal håndtere deres login-data korrekt. Bevidsthed er det eneste, der virkelig kan vende tabellerne rundt. Hvis folk ved, hvordan de skal beskytte deres konti korrekt, og hvis de er bekendt med de værktøjer, de har til rådighed, er det meget mere sandsynligt, at de undgår at begå de samme gamle fejl.
Desværre, selv om indsatsen for at uddanne Joe og Joanne Average er enorm, viser Microsofts undersøgelse og andre lignende undersøgelser, at fremskridtene er uhyggeligt langsomme.
