Microsoft hævder, at 99,9% af alle kontohacks kan forhindres ved at tilføje MFA

99 Per Cent of Compromised Accounts Don't Use MFA

To-faktor autentificering (2FA) eller multifaktor autentificering (MFA) er ikke (og vil aldrig være) perfekt. Motiverede cyberkriminelle har allerede udviklet en række forskellige værktøjer og teknikker, der hjælper dem med at omgå 2FA, og de har brugt dem i angreb fra den virkelige verden. Hver anden dag læser vi om, hvordan OTP-koder kan phishing, og om, hvordan medier som e-mail og SMS ikke giver den sikkerhed, der kræves til transmission af denne slags information. Selv specialiserede apps som Google Authenticator er ikke immune over for vellykkede angreb, hvilket får mange til at tvivle på den ekstra sikkerhed, som 2FA leverer. I en præsentation på RSA-konferencen i San Francisco i sidste måned fremførte Alex Weinert, Microsofts direktør for identitetssikkerhed, nogle statistikker, der viser, hvor irrelevant denne frygt kan være.

Næsten alle kompromitterede firmakonti bruger ikke MFA

Tallene Weinert viste frem betragtede virksomhedsbrugere af Azure AD, Microsofts identitets- og adgangsstyringssystem, og de fungerer som bevis (som om det var nødvendigt at bevise) for, at forretningsbaserede konti bliver kompromitteret hele tiden. Alene i januar måned opdagede Microsoft succesrige angreb mod ikke mindre end 1,2 millioner konti. Ifølge Weinert repræsenterer dette 0,5% af alle brugere, som måske ikke lyder meget, men når du overvejer at dette kun er den månedlige statistik, begynder tingene at blive en smule mere bekymrende. Hvad der dog er endnu skræmmere er den åbenlyse forebyggelighed af alle disse angreb.

Hele 99,9% af alle konti med succes kompromitterede var ikke beskyttet af MFA., Hvilket virkelig viser, hvor dårligt placeret fokus nogle gange kan være. Mens folk ikke aktiverer Multi-Factor Authentication, fordi de bekymrer sig for, at en motiveret angriber kan stjæle deres midlertidige koder, bryder angriberen selv konti uden behov for sådanne koder overhovedet. Det er klart, at adoptionsraterne stadig er lave, og selv om sikkerhedsforskere, der opdager mangler i 2FA-systemer, gør det til fordel for alle ved at påpege svaghederne, afskrækker de utilsigtet folk væk fra funktionen. Det må siges, at dette ikke er det eneste problem.

Ældre godkendelsesprotokoller og dårlig adgangskodeadministration hjælper også hackere

Vi må ikke glemme, at vi taler om forretningsregnskaber, som straks gør tingene meget mere komplicerede. Som Microsoft påpegede, er MFA ofte ikke engang en mulighed for brugere.

Ifølge verdens mest populære operatør af operativsystemer er det store flertal af overtagelser af kontoen rettet mod organisationer, der bruger det, Microsoft kalder "ældre godkendelse." Disse organisationer har bygget hele deres IT-infrastrukturer omkring gamle protokoller, der overhovedet ikke tillader 2FA. Angriberne ved helt klart, hvor svage disse protokoller kan være, og de vil ikke holde sig væk fra at drage fordel af denne kendsgerning. Desværre er det ofte nødvendigt at skifte til et mere moderne og sikkert autentificeringssystem meget arbejde og nedetid, som virksomhederne simpelthen ikke har råd til, hvilket betyder, at brugerne aldrig får en chance for at bruge tofaktorautentisering. Dette burde dog ikke være en undskyldning for deres dårlige kontosikkerhed.

Alex Weinert sagde i sin præsentation, at hackere brugte password-sprøjtning til at hacke ind i ca. 40% af januar's kompromitterede konti. I et sprøjteangreb med et kodeord bruger cyberkriminelle en relativt kort liste over almindeligt anvendte adgangskoder og prøver dem mod et bredere spektrum af brugernavne. Fordi mange mennesker har en tendens til at bruge almindelige, let at gætte adgangskoder, er angrebene ofte vellykkede.

Yderligere 40% af de 1,2 millioner konti, der blev inddelt i den første måned af året, blev offer for overtrædelse af gentagelsesangreb. Overtrædelse af gentagelse er tilsyneladende Microsofts betegnelse for udskrivning af legitimationsoplysninger - et angreb, hvor hackere bruger brugernavne og adgangskoder stjålet fra en online tjeneste for at åbne konti på flere andre websteder. Endnu en gang gør folks uagtsom holdning til deres kontos sikkerhed og deres tendens til at genbruge adgangskoder angrebet meget vellykket.

I teorien er det et relativt simpelt job at forhindre overtagelse af kontoovertagelser i et virksomhedsmiljø, men faktum er, at der er en hel del faktorer, der spiller på spil. Opdagelsen af sårbarheder rejser tvivl om effektiviteten af 2FA, hvilket sammen med det faktum, at funktionen ikke er tilgængelig i alle virksomhedssystemer, resulterer i dårlige adoptionstall.

For virkelig at forbedre situationen, skal folk indse, hvor vigtig korrekt adgangskodestyring er. Virksomheder og tjenesteudbydere skal gøre alt, hvad de kan, for at sikre, at den ekstra sikkerhed, der leveres af 2FA, er til rådighed til enhver tid, og brugere bør komme til udtryk med det faktum, at selvom det ikke er et universalmiddel, kan denne enkle funktion ofte gøre forskellen mellem en kompromitteret konto og en sikker konto.

March 16, 2020