A Microsoft azt állítja, hogy az összes fiókcsapódás 99,9% -át meg lehet akadályozni MFA hozzáadásával

99 Per Cent of Compromised Accounts Don't Use MFA

A kétfaktoros hitelesítés (2FA) vagy a többtényezős hitelesítés (MFA) nem tökéletes (és soha nem lesz tökéletes). A motivált számítógépes bűnözők már számos különféle eszközt és technikát kifejlesztettek, amelyek segítenek őket megkerülni a 2FA-t, és valódi támadásokban használják őket. Minden második nap elolvassuk az OTP-kódok adathalmazát és arról, hogy az olyan médiumok, mint az e-mail és az SMS nem biztosítják az ilyen típusú információ továbbításához szükséges biztonságot. Még olyan speciális alkalmazások, mint például a Google Authenticator, nem védettek a sikeres támadásokkal szemben, ami sokan kétségbe vonják a 2FA által nyújtott kiegészítő biztonságot. A prezentáció során a múlt hónapban az RSA Conference San Francisco-ban, Alex Weinert, a Microsoft igazgatója Identity Security, kihozott néhány statisztikák azt mutatják, hogy mennyire relevánsak ezek a félelmek is.

Szinte az összes veszélyeztetett vállalati fiók nem használja az MFA-t

A Weinert által bemutatott adatok az Azure AD, a Microsoft azonosság- és hozzáféréskezelő rendszerének vállalati felhasználói, és bizonyítékként szolgálnak (mintha bizonyításra lenne szükség), hogy az üzleti felhőalapú fiókok folyamatosan veszélybe kerülnek. Csak a január hónapjában a Microsoft sikeres támadásokat fedezett fel legalább 1,2 millió fiók ellen. Weinert szerint ez az összes felhasználó 0,5% -át képviseli, ami talán nem tűnik túl sokat, de ha figyelembe vesszük, hogy ez csak a havi statisztika, a dolgok kissé aggasztóbbnak tűnnek. Még ennél is félelmesebb azonban az, hogy ezeknek a támadásoknak a nyilvánvaló megelőzése volt lehetséges.

Az összes sikeresen kompromittált számla 99,9% -át nem védi az MFA. Ez valóban azt mutatja, hogy a fókusz milyen rosszul helytelen lehet. Miközben az emberek nem tudják bekapcsolni a többtényezős hitelesítést, mert attól tartanak, hogy egy motivált támadó ellophatja ideiglenes kódjaikat, maguk a támadók elszámolnak, anélkül, hogy ilyen kódokra lenne szükségük. Nyilvánvaló, hogy az elfogadási arány továbbra is alacsony, és bár a 2FA rendszerekben hibákat fedező biztonsági kutatók mindenki számára a legjobbakat teszik, rámutatva a gyengeségekre, az akaratlanul elriasztják az embereket a funkciótól. Azt kell mondani, hogy nem ez az egyetlen probléma.

A régebbi hitelesítési protokollok és a rossz jelszókezelés szintén segítenek a hackereknek

Nem szabad elfelejtenünk, hogy üzleti számlákról beszélünk, amelyek azonnal sokkal bonyolultabbá teszik a dolgokat. Amint a Microsoft rámutatott, az MFA gyakran nem is lehetőség a felhasználók számára.

A világ legnépszerűbb operációs rendszer-szállítója szerint a számlaátvételi támadások túlnyomó többsége olyan szervezetekre irányul, amelyek a Microsoft által a "régi hitelesítésnek" hívják a figyelmet. Ezek a szervezetek a teljes IT-infrastruktúrájukat a régi protokollok köré építették, amelyek egyáltalán nem engedélyezik a 2FA-t. Nyilvánvaló, hogy a támadók tudják, milyen gyengék lehetnek ezek a protokollok, és nem fogják félni elkerülni ezt a tényt. Sajnos a korszerűbb és biztonságosabb hitelesítési rendszerre való váltás gyakran sok munkát és leállást igényel, amelyet a vállalatok egyszerűen nem engedhetnek meg maguknak, ami azt jelenti, hogy a felhasználóknak soha nem adnak esélyt kétfaktoros hitelesítésre. Ennek azonban nem szabad mentségül szolgálnia a gyenge számlabiztonságukért.

Alex Weinert előadásában elmondta, hogy a hackerek jelszószórással használták fel január kompromittált fiókjainak körülbelül 40% -át. Jelszószóró támadás során a számítógépes bűnözők viszonylag rövid listát használnak az általánosan használt jelszavakról, és a felhasználónevek szélesebb köre ellen próbálják ki őket. Mivel sok ember hajlandó általános, könnyen kitalálható jelszavakat használni, a támadások gyakran sikeresek.

Az 1,2 millió számla további 40% -a, amelyre az év első hónapjában betörtek, visszajátszási támadások áldozatává vált. A jogsértés-visszajátszás nyilvánvalóan a Microsoft kifejezése a hitelesítő adatok kitöltésére - egy támadás, amelynek során a hackerek egy online szolgáltatásból ellopott felhasználóneveket és jelszavakat használnak számlák nyitására több más webhelyen. Még egyszer, az emberek gondatlan hozzáállása számlájuk biztonságához és a jelszavak újrahasznosítási hajlandósága miatt a támadás rendkívül sikeres.

Elméletileg a vállalati környezetben a számlaátvételi támadások megakadályozása viszonylag egyszerű feladat, de a helyzet az, hogy nagyon sok tényező játszik szerepet. A sérülékenységek felfedezése kétségbe vonja a 2FA hatékonyságát, amely azzal a ténnyel, hogy a szolgáltatás nem minden vállalati rendszerben érhető el, gyenge elfogadási számadatokat eredményez.

A helyzet állapotának valóban javításához az embereknek fel kell ismerniük, hogy mennyire fontos a megfelelő jelszókezelés. A vállalatoknak és a szolgáltatóknak minden tőlük telhetőt meg kell tenniük annak biztosítása érdekében, hogy a 2FA által biztosított extra biztonság mindenkor elérhető legyen, és a felhasználóknak meg kell egyezniük azzal, hogy bár ez nem csodaszer, ez az egyszerű szolgáltatás gyakran megkülönböztetheti a veszélyeztetett és biztonságos fiók.

March 16, 2020
Betöltés...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.