44 millió Microsoft és az Azure-felhasználó továbbra is megsértett jelszavakat, új tanulmánykereséseket használ

Az online cégek és szolgáltatások naponta hitelesítő adatokkal kapcsolatos támadásokat szenvednek, és a következmények gyakran meglehetősen súlyosak. A fenyegetés fenyeget, és a biztonsági szakemberek nem hagyják abba a beszélgetést. Valamit nyilvánvalóan meg kell tenni, és hogy jobban megértsük, mi folyik, a biztonsági szolgáltatók kutatják az emberek jelszókezelési szokásait. Sajnos, minél inkább megteszik, annál inkább rájönünk, hogy a hitelesítő adatok kitöltése valószínűleg nem fog eltűnni hamarosan.

Ez év elején például a Microsoft szakértői megpróbálták többet megtudni arról, hogy mit tesznek az emberek az Azure-fiókjaik védelme érdekében, és miután áttekintettük a megállapításaikat, két fő következtetést vonhatunk le. Az első az, hogy a sikeres hitelesítő adatok kitöltésének támadása még soha nem volt ilyen egyszerű. A második az, hogy a felhasználók nem tudják teljesen, milyen szörnyű következmények lehetnek.

Több mint 44 millió Microsoft-ügyfél találta korábban sértett jelszavakat

A Microsoft kutatása 2019 januárjában kezdődött, amikor a szakértők 3 milliárd felhasználónév- és jelszópárt gyűjtöttek el, amelyeket különféle online szolgáltatásokból és platformokból loptak el. Ezután kipróbálta őket az Azure AD és a Microsoft Services felhasználói által létrehozott hitelesítő adatok listája alapján, és több mint 44 millió fiókhoz talált egyezést.

Más szavakkal, az év első negyedévében bárki, aki hozzáférhetett a 3 milliárd ellopott bejelentkezési adatokhoz, könnyen átvetheti több mint 44 millió ember számláját. Ez szinte túlságosan félelmetesnek hangzik, hogy igaz legyen, és elég biztosak vagyunk benne, hogy néhányan közületek már felvette az ujját kifogással. Azt mondhatják, hogy a 3 milliárd felhasználónév és jelszó kombináció megszerzése szinte lehetetlen a szokásos számítógépes adatátvitel során. Sajnos ez messze van az igazságtól.

A lopott bejelentkezési hitelesítő adatokat sötét internetes piacokon és földimogyorókat kereső fórumokon értékesítik, és a közelmúltban egy kiberbűnözői csoport egyszerű konfigurációs hibát követett el, és megmutatta, hogy néha minden, ami a hackerek és a bejelentkezési adatok hatalmas eltúlzása között áll, egyszerű keresési lekérdezés.

Mindent egybevetve, manapság és korban a hitelesítő adatok kitöltésének támadása egyáltalán nem nagyon nehéz, és a felhasználók jelszóbiztonság iránti figyelmen kívül hagyása azt jelenti, hogy minden valószínűség szerint nagyon hatékony lesz. De mit tehetünk ennek megváltoztatásához?

A Microsoft jelszó-visszaállítást kényszerít az ügyfelek számára, akik veszélyeztetett jelszavakat használnak

A számok megismerése után a Microsoft azonnal kényszerítette a jelszó visszaállítását minden olyan személy számára, akik veszélyeztetett hitelesítő adatokat használtak. A megsértett jelszavak érvénytelenítésével meglehetősen nagy akadályt jelentett annak előtt, hogy bárki megpróbáljon hitelesítő adatokkal kitölteni az Azure-felhasználókat. Sajnos ez soha nem lesz elég a probléma teljes megoldásához.

Egyrészt, amint azt egy újabb nemrégiben készült tanulmány is mutatja, az emberek körülbelül fele hajlamosan módosítja a régi jelszavait, amikor kényszerítik őket. És még ha átesik is az új jelszó létrehozásának nehézségein, akkor valószínű, hogy folytatják és újra felhasználják más fiókokon.

A hitelesítő adatok kitöltése a rossz jelszókezelésen alapul, és a tények azt mutatják, hogy az emberek egyszerűen nem tudják, hogyan kell helyesen kezelni bejelentkezési adataikat. A tudatosság az egyetlen dolog, amely valóban megfordíthatja az asztalokat. Ha az emberek tudják, hogyan kell megfelelő módon védeni számláikat, és ha ismerik a rendelkezésükre álló eszközöket, akkor sokkal valószínűbb, hogy elkerülik ugyanazok a régi hibákat.

Sajnos, bár a Joe és Joanne Average nevelésének erőfeszítései óriási, a Microsoft tanulmánya és más hasonló felmérések azt mutatják, hogy a haladás meglepően lassú.