Microsoft hevder at 99,9% av alle kontohacks kan forhindres ved å legge til MFA

99 Per Cent of Compromised Accounts Don't Use MFA

To-faktor autentisering (2FA) eller multifaktor-autentisering (MFA) er ikke (og vil aldri være) perfekte. Motiverte nettkriminelle har allerede utviklet en rekke forskjellige verktøy og teknikker som hjelper dem å omgå 2FA, og de har brukt dem i angrep fra den virkelige verden. Annenhver dag leser vi om hvordan OTP-koder kan phishing og om hvordan medier som e-post og SMS ikke gir sikkerheten som kreves for å overføre denne typen informasjon. Selv spesialiserte apper som Google Authenticator er ikke immun mot vellykkede angrep, noe som gjør at mange tviler på den ekstra sikkerheten som 2FA gir. I en presentasjon under forrige måneds RSA-konferanse i San Francisco, la Alex Weinert, Microsofts direktør for identitetssikkerhet, frem noen statistikker som viser hvor irrelevant denne frykten kan være.

Nesten alle kompromitterte bedriftskontoer bruker ikke MFA

Tallene Weinert viste frem ansettede bedriftsbrukere av Azure AD, Microsofts system for identitets- og tilgangshåndtering, og de fungerer som bevis (som om bevis var nødvendig) for at forretningsskylbaserte kontoer blir kompromittert hele tiden. Bare i løpet av januar måned oppdaget Microsoft vellykkede angrep mot ikke mindre enn 1,2 millioner kontoer. I følge Weinert utgjør dette 0,5% av alle brukere, noe som kanskje ikke høres ut som mye, men når du vurderer at dette bare er den månedlige statistikken, begynner ting å se litt mer bekymringsfullt ut. Det som er enda skumlere er imidlertid den tilsynelatende forebyggbarheten av alle disse angrepene.

Hele 99,9% av alle vellykkede kompromitterte kontoer ble ikke beskyttet av MFA., Noe som virkelig viser hvor dårlig feilplassert fokus kan være noen ganger. Mens folk ikke klarer å slå på flerfaktorautentisering fordi de bekymrer seg for at en motivert angriper kan stjele midlertidige koder, bryter angriperne selv kontoer uten at det er behov for slike koder i det hele tatt. Det er tydelig at adopsjonsratene fremdeles er lave, og selv om sikkerhetsforskere som oppdager feil i 2FA-systemer, gjør det til fordel for alle, ved å påpeke svakhetene, avskrekker de utilsiktet folk fra funksjonen. Det må sies at dette ikke er det eneste problemet.

Gamle autentiseringsprotokoller og dårlig passordbehandling hjelper også hackere

Vi må ikke glemme at vi snakker om forretningsregnskap, som umiddelbart gjør ting mye mer komplisert. Som Microsoft påpekte, er MFA ofte ikke engang et alternativ for brukere.

I følge verdens mest populære operatør av OS, er det store flertallet av overtakelse av kontoen rettet mot organisasjoner som bruker det Microsoft kaller "eldre autentisering." Disse organisasjonene har bygget hele IT-infrastrukturen rundt gamle protokoller som ikke tillater 2FA i det hele tatt. Angriperne vet tydelig hvor svake disse protokollene kan være, og de vil ikke skyte unna å dra nytte av dette faktum. Dessverre innebærer det å bytte til et mer moderne og sikkert autentiseringssystem ofte mye arbeid og driftsstans som selskaper rett og slett ikke har råd til, noe som betyr at brukerne aldri får en sjanse til å bruke tofaktorautentisering. Dette bør ikke være en unnskyldning for deres dårlige kontosikkerhet.

Alex Weinert sa i sin presentasjon at hackere brukte passordsprøyting for å hacke inn omtrent 40% av januar's kompromitterte kontoer. I et passordsprøyteangrep bruker nettkriminelle en relativt kort liste over ofte brukte passord og prøver dem mot et bredere spekter av brukernavn. Fordi mange har en tendens til å bruke vanlige passord som er enkle å gjette, er angrepene ofte vellykkede.

Ytterligere 40% av 1,2 millioner kontoer som ble brutt inn i løpet av den første måneden av året, ble offer for brudd på replayangrep. Avspilling av brudd er tilsynelatende Microsofts betegnelse for påleggsstopping - et angrep der hackere bruker brukernavn og passord stjålet fra en online tjeneste for å åpne kontoer på flere andre nettsteder. Nok en gang gjør folks uaktsomme holdning til kontoenes sikkerhet og deres tendens til å gjenbruke passord, angrepet svært vellykket.

I teorien er det en relativt enkel jobb å forhindre angrep på overtakelse i et bedriftsmiljø, men faktum er at det er ganske mange faktorer som spiller på spill. Oppdagelsen av sårbarheter setter tvil rundt effektiviteten til 2FA, som sammen med det faktum at funksjonen ikke er tilgjengelig i alle bedriftssystemer, resulterer i dårlige adopsjonstall.

For å virkelig forbedre tilstanden, må folk innse hvor viktig riktig passordhåndtering er. Bedrifter og tjenesteleverandører må gjøre alt de kan for å sikre at den ekstra sikkerheten som leveres av 2FA til enhver tid er tilgjengelig, og brukerne bør komme til enighet med at selv om det ikke er et universalmiddel, kan denne enkle funksjonen ofte gjøre forskjellen mellom kompromittert konto og en sikker konto.

March 16, 2020