44 εκατομμύρια χρήστες Microsoft και Azure συνεχίζουν να χρησιμοποιούν παραβιαμένους κωδικούς πρόσβασης, σύμφωνα με νέα στοιχεία της μελέτης
Οι εταιρείες και οι υπηρεσίες στο διαδίκτυο υποφέρουν καθημερινά από επιθετικές γέμιση, και οι συνέπειες είναι συχνά αρκετά σοβαρές. Η απειλή υστερεί και οι ειδικοί ασφαλείας δεν θα σταματήσουν να μιλάνε γι 'αυτό. Κάτι πρέπει να γίνει σαφώς και, για να κατανοήσουμε καλύτερα τι συμβαίνει, οι πωλητές ασφάλειας ερευνούν τις συνήθειες διαχείρισης των κωδικών πρόσβασης των ανθρώπων. Δυστυχώς, όσο περισσότερο το κάνουν, τόσο περισσότερο συνειδητοποιούμε ότι είναι απίθανο να εξαφανιστεί σύντομα.
Νωρίτερα αυτό το έτος, για παράδειγμα, εμπειρογνώμονες από τη Microsoft προσπάθησαν να μάθουν περισσότερα για το τι κάνουν οι άνθρωποι για να προστατεύσουν τους λογαριασμούς τους Azure και έχοντας περάσει τα ευρήματά τους, μπορούμε να καταλήξουμε σε δύο σημαντικά συμπεράσματα. Το πρώτο είναι ότι η απόσυρση μιας επιτυχούς επίθεσης γέμισμα επίπληξης δεν ήταν ποτέ ευκολότερη. Ο δεύτερος είναι ότι οι χρήστες δεν είναι εντελώς ενήμεροι για το πόσο τρομακτικές είναι οι συνέπειες.
Περισσότεροι από 44 εκατομμύρια πελάτες της Microsoft διαπίστωσαν ότι χρησιμοποιούν κωδικούς που είχαν προηγουμένως διακυβευτεί
Η μελέτη της Microsoft άρχισε τον Ιανουάριο του 2019, όταν οι εμπειρογνώμονες πήραν μια συλλογή από 3 δισεκατομμύρια ζευγάρια ονόματος χρήστη και κωδικού πρόσβασης κλεμμένα από διάφορες ηλεκτρονικές υπηρεσίες και πλατφόρμες. Στη συνέχεια τα εξέτασαν σε σχέση με μια λίστα διαπιστευτηρίων που είχαν δημιουργηθεί από τους χρήστες της Azure AD και της Microsoft Services και βρήκε έναν αγώνα για πάνω από 44 εκατομμύρια λογαριασμούς.
Με άλλα λόγια, το πρώτο τρίμηνο του τρέχοντος έτους, οποιοσδήποτε είχε πρόσβαση στα 3 δισεκατομμύρια κλεμμένα διαπιστευτήρια σύνδεσης, θα μπορούσε εύκολα να αναλάβει τους λογαριασμούς περισσότερων από 44 εκατομμυρίων ανθρώπων. Αυτό ακούγεται σχεδόν πάρα πολύ τρομακτικό για να είναι αληθινό, και είμαστε σίγουροι ότι κάποιοι από εσάς έχουν ήδη σηκώσει ένα δάχτυλο σε αντίθεση. Μπορούν να πουν ότι η απόκτηση των 3 δισεκατομμυρίων συνδυασμών ονόματος και κωδικού πρόσβασης θα ήταν δίπλα στο αδύνατο για την τακτική cybercrook σας. Δυστυχώς, αυτό απέχει πολύ από την αλήθεια.
Τα κλεμμένα διαπιστευτήρια σύνδεσης πωλούνται σε σκοτεινούς ιστοτόπους και σε φόρουμ για τα φιστίκια και πρόσφατα μια ομάδα ηλεκτρονικών εγκληματιών έκανε ένα απλό σφάλμα διαμόρφωσης και έδειξε ότι μερικές φορές όλα αυτά που υπάρχουν ανάμεσα σε έναν χάκερ και μια τεράστια αποθήκευση στοιχείων σύνδεσης είναι ένα απλό ερώτημα αναζήτησης.
Συνολικά, σε αυτή την εποχή, η διοργάνωση μιας επίθεσης γέμισμα διαπιστευτηρίων δεν είναι καθόλου δύσκολη, και η αμέλεια των χρηστών για την ασφάλεια των κωδικών πρόσβασης σημαίνει ότι κατά πάσα πιθανότητα θα είναι πολύ αποτελεσματική. Αλλά τι μπορούμε να κάνουμε για να αλλάξουμε αυτό;
Η Microsoft αναγκάζει μια επαναφορά κωδικού πρόσβασης για πελάτες που χρησιμοποιούν κωδικούς που έχουν υποστεί βλάβη
Αφού είδε τα στοιχεία, η Microsoft υποχρέωσε αμέσως την επαναφορά του κωδικού πρόσβασης για όλους όσους χρησιμοποίησαν συμβεβλημένα διαπιστευτήρια. Με την ακύρωση των παραβιαζόμενων κωδικών πρόσβασης, έβαλε μάλλον ένα μεγάλο εμπόδιο μπροστά σε όποιον προσπαθεί να τοποθετήσει μια επίθεση γεμάτη πιστοποίηση σε χρήστες Azure. Δυστυχώς, αυτό δεν μπορεί ποτέ να είναι αρκετό για την πλήρη επίλυση του προβλήματος.
Για ένα, όπως δείχνει μια άλλη πρόσφατη μελέτη, περίπου οι μισοί άνθρωποι τείνουν να τροποποιούν ελαφρώς τους παλιούς κωδικούς τους όταν αναγκάζονται να τις ενημερώσουν. Ακόμη και αν υποστούν το πρόβλημα δημιουργίας νέου κωδικού πρόσβασης, είναι πιθανό ότι θα συνεχίσουν και θα επαναχρησιμοποιηθούν σε άλλους λογαριασμούς.
Η γνησιότητα των παραληπτών βασίζεται στην κακή διαχείριση κωδικών πρόσβασης και τα γεγονότα δείχνουν ότι οι άνθρωποι απλά δεν ξέρουν πώς να χειρίζονται σωστά τα δεδομένα σύνδεσης τους. Η ευαισθητοποίηση είναι το μόνο πράγμα που μπορεί πραγματικά να γυρίσει τα τραπέζια γύρω. Αν οι άνθρωποι γνωρίζουν πώς να προστατεύουν σωστά τους λογαριασμούς τους και εάν είναι εξοικειωμένοι με τα εργαλεία που έχουν στη διάθεσή τους, είναι πολύ πιθανότερο να αποφύγουν τα ίδια παλιά λάθη.
Δυστυχώς, παρόλο που η προσπάθεια εκπαίδευσης των Joe και Joanne Average είναι τεράστια, η μελέτη της Microsoft και άλλες παρόμοιες έρευνες δείχνουν ότι η πρόοδος είναι αναπόφευκτα αργή.