A Microsoft azt állítja, hogy az összes fiókcsapódás 99,9% -át meg lehet akadályozni MFA hozzáadásával

99 Per Cent of Compromised Accounts Don't Use MFA

A kétfaktoros hitelesítés (2FA) vagy a többtényezős hitelesítés (MFA) nem tökéletes (és soha nem lesz tökéletes). A motivált számítógépes bűnözők már számos különféle eszközt és technikát kifejlesztettek, amelyek segítenek őket megkerülni a 2FA-t, és valódi támadásokban használják őket. Minden második nap elolvassuk az OTP-kódok adathalmazát és arról, hogy az olyan médiumok, mint az e-mail és az SMS nem biztosítják az ilyen típusú információ továbbításához szükséges biztonságot. Még olyan speciális alkalmazások, mint például a Google Authenticator, nem védettek a sikeres támadásokkal szemben, ami sokan kétségbe vonják a 2FA által nyújtott kiegészítő biztonságot. A prezentáció során a múlt hónapban az RSA Conference San Francisco-ban, Alex Weinert, a Microsoft igazgatója Identity Security, kihozott néhány statisztikák azt mutatják, hogy mennyire relevánsak ezek a félelmek is.

Szinte az összes veszélyeztetett vállalati fiók nem használja az MFA-t

A Weinert által bemutatott adatok az Azure AD, a Microsoft azonosság- és hozzáféréskezelő rendszerének vállalati felhasználói, és bizonyítékként szolgálnak (mintha bizonyításra lenne szükség), hogy az üzleti felhőalapú fiókok folyamatosan veszélybe kerülnek. Csak a január hónapjában a Microsoft sikeres támadásokat fedezett fel legalább 1,2 millió fiók ellen. Weinert szerint ez az összes felhasználó 0,5% -át képviseli, ami talán nem tűnik túl sokat, de ha figyelembe vesszük, hogy ez csak a havi statisztika, a dolgok kissé aggasztóbbnak tűnnek. Még ennél is félelmesebb azonban az, hogy ezeknek a támadásoknak a nyilvánvaló megelőzése volt lehetséges.

Az összes sikeresen kompromittált számla 99,9% -át nem védi az MFA. Ez valóban azt mutatja, hogy a fókusz milyen rosszul helytelen lehet. Miközben az emberek nem tudják bekapcsolni a többtényezős hitelesítést, mert attól tartanak, hogy egy motivált támadó ellophatja ideiglenes kódjaikat, maguk a támadók elszámolnak, anélkül, hogy ilyen kódokra lenne szükségük. Nyilvánvaló, hogy az elfogadási arány továbbra is alacsony, és bár a 2FA rendszerekben hibákat fedező biztonsági kutatók mindenki számára a legjobbakat teszik, rámutatva a gyengeségekre, az akaratlanul elriasztják az embereket a funkciótól. Azt kell mondani, hogy nem ez az egyetlen probléma.

A régebbi hitelesítési protokollok és a rossz jelszókezelés szintén segítenek a hackereknek

Nem szabad elfelejtenünk, hogy üzleti számlákról beszélünk, amelyek azonnal sokkal bonyolultabbá teszik a dolgokat. Amint a Microsoft rámutatott, az MFA gyakran nem is lehetőség a felhasználók számára.

A világ legnépszerűbb operációs rendszer-szállítója szerint a számlaátvételi támadások túlnyomó többsége olyan szervezetekre irányul, amelyek a Microsoft által a "régi hitelesítésnek" hívják a figyelmet. Ezek a szervezetek a teljes IT-infrastruktúrájukat a régi protokollok köré építették, amelyek egyáltalán nem engedélyezik a 2FA-t. Nyilvánvaló, hogy a támadók tudják, milyen gyengék lehetnek ezek a protokollok, és nem fogják félni elkerülni ezt a tényt. Sajnos a korszerűbb és biztonságosabb hitelesítési rendszerre való váltás gyakran sok munkát és leállást igényel, amelyet a vállalatok egyszerűen nem engedhetnek meg maguknak, ami azt jelenti, hogy a felhasználóknak soha nem adnak esélyt kétfaktoros hitelesítésre. Ennek azonban nem szabad mentségül szolgálnia a gyenge számlabiztonságukért.

Alex Weinert előadásában elmondta, hogy a hackerek jelszószórással használták fel január kompromittált fiókjainak körülbelül 40% -át. Jelszószóró támadás során a számítógépes bűnözők viszonylag rövid listát használnak az általánosan használt jelszavakról, és a felhasználónevek szélesebb köre ellen próbálják ki őket. Mivel sok ember hajlandó általános, könnyen kitalálható jelszavakat használni, a támadások gyakran sikeresek.

Az 1,2 millió számla további 40% -a, amelyre az év első hónapjában betörtek, visszajátszási támadások áldozatává vált. A jogsértés-visszajátszás nyilvánvalóan a Microsoft kifejezése a hitelesítő adatok kitöltésére - egy támadás, amelynek során a hackerek egy online szolgáltatásból ellopott felhasználóneveket és jelszavakat használnak számlák nyitására több más webhelyen. Még egyszer, az emberek gondatlan hozzáállása számlájuk biztonságához és a jelszavak újrahasznosítási hajlandósága miatt a támadás rendkívül sikeres.

Elméletileg a vállalati környezetben a számlaátvételi támadások megakadályozása viszonylag egyszerű feladat, de a helyzet az, hogy nagyon sok tényező játszik szerepet. A sérülékenységek felfedezése kétségbe vonja a 2FA hatékonyságát, amely azzal a ténnyel, hogy a szolgáltatás nem minden vállalati rendszerben érhető el, gyenge elfogadási számadatokat eredményez.

A helyzet állapotának valóban javításához az embereknek fel kell ismerniük, hogy mennyire fontos a megfelelő jelszókezelés. A vállalatoknak és a szolgáltatóknak minden tőlük telhetőt meg kell tenniük annak biztosítása érdekében, hogy a 2FA által biztosított extra biztonság mindenkor elérhető legyen, és a felhasználóknak meg kell egyezniük azzal, hogy bár ez nem csodaszer, ez az egyszerű szolgáltatás gyakran megkülönböztetheti a veszélyeztetett és biztonságos fiók.

March 16, 2020