44 miljoen Microsoft- en Azure-gebruikers blijven gescheurde wachtwoorden gebruiken, nieuwe onderzoeksresultaten

Online bedrijven en diensten worden dagelijks geconfronteerd met aanvallen van referenties en de gevolgen zijn vaak vrij ernstig. De dreiging dreigt en beveiligingsspecialisten zullen er niet over blijven praten. Er moet duidelijk iets worden gedaan, en om beter te kunnen begrijpen wat er aan de hand is, onderzoeken beveiligingsleveranciers de gewoonten van mensen op het gebied van wachtwoordbeheer. Helaas, hoe meer ze het doen, hoe meer we ons realiseren dat het vullen van referenties waarschijnlijk niet snel zal verdwijnen.

Eerder dit jaar probeerden experts van Microsoft bijvoorbeeld meer te weten te komen over wat mensen doen om hun Azure-accounts te beschermen en nadat ze hun bevindingen hebben doorlopen, kunnen we twee belangrijke conclusies trekken. De eerste is dat het nog nooit zo eenvoudig was om een succesvolle opvul-aanval uit te voeren. De tweede is dat gebruikers zich niet volledig bewust zijn van hoe vreselijk de gevolgen kunnen zijn.

Meer dan 44 miljoen Microsoft-klanten bleken eerder gecompromitteerde wachtwoorden te gebruiken

Het onderzoek van Microsoft begon in januari 2019, toen de experts een verzameling van 3 miljard gebruikersnaam- en wachtwoordparen namen die waren gestolen van verschillende online services en platforms. Ze testten ze vervolgens met een lijst met referenties die waren gemaakt door Azure AD- en Microsoft Services-gebruikers en vonden een overeenkomst voor meer dan 44 miljoen accounts.

Met andere woorden, in het eerste kwartaal van dit jaar had iedereen die toegang had tot de 3 miljard gestolen inloggegevens gemakkelijk de accounts van meer dan 44 miljoen mensen kunnen overnemen. Dit klinkt bijna te angstaanjagend om waar te zijn, en we zijn er vrij zeker van dat sommigen van jullie al een vinger in bezwaar hebben geheven. Ze kunnen zeggen dat het verkrijgen van 3 miljard combinaties van gebruikersnaam en wachtwoord bijna onmogelijk zou zijn voor je reguliere cyberrook. Helaas is dit verre van waar.

Gestolen inloggegevens worden verkocht op dark web-marktplaatsen en hackforums voor pinda's, en onlangs maakte een cybercriminele groep een eenvoudige configuratiefout en toonde aan dat soms het enige dat tussen een hacker en een enorme hoeveelheid inloggegevens staat, een eenvoudige zoekopdracht is.

Al met al is het tegenwoordig helemaal niet erg moeilijk om een 'stuffing attack' in te voeren, en de nalatigheid van gebruikers met betrekking tot wachtwoordbeveiliging betekent naar alle waarschijnlijkheid zeer effectief. Maar wat kunnen we doen om dit te veranderen?

Microsoft dwingt een wachtwoord opnieuw in te stellen voor klanten die gecompromitteerde wachtwoorden gebruiken

Na het zien van de cijfers dwong Microsoft onmiddellijk een wachtwoord opnieuw in te stellen voor alle mensen die gecompromitteerde inloggegevens hadden gebruikt. Door de geschonden wachtwoorden ongeldig te maken, vormde het een vrij groot obstakel voor iedereen die probeerde een inlogvulaanval op Azure-gebruikers op te zetten. Helaas kan dit nooit genoeg zijn om het probleem volledig op te lossen.

Ten eerste, zoals een ander recent onderzoek aantoont, heeft ongeveer de helft van de mensen de neiging om hun oude wachtwoorden lichtjes aan te passen wanneer ze gedwongen worden ze bij te werken. En zelfs als ze de moeite nemen om een nieuw wachtwoord te maken, is de kans groot dat ze het dan blijven gebruiken voor andere accounts.

Het vullen van referenties is afhankelijk van slecht wachtwoordbeheer en de feiten tonen aan dat mensen gewoon niet weten hoe ze hun inloggegevens correct moeten verwerken. Bewustzijn is het enige dat echt de rollen kan omdraaien. Als mensen weten hoe ze hun accounts op de juiste manier kunnen beschermen en als ze bekend zijn met de tools die ze tot hun beschikking hebben, zullen ze veel vaker voorkomen dat ze dezelfde oude fouten maken.

Helaas, hoewel de inspanningen om Joe en Joanne Average te onderwijzen enorm zijn, tonen de studie van Microsoft en andere soortgelijke enquêtes aan dat de vooruitgang verschrikkelijk traag is.