Microsoft beweert dat 99,9% van alle account-hacks kan worden voorkomen door MFA toe te voegen

99 Per Cent of Compromised Accounts Don't Use MFA

Two-Factor Authentication (2FA) of Multi-Factor Authentication (MFA) is niet (en zal nooit) perfect zijn. Gemotiveerde cybercriminelen hebben al verschillende tools en technieken ontwikkeld waarmee ze 2FA kunnen omzeilen, en ze hebben deze gebruikt in real-world aanvallen. Om de dag lezen we over hoe OTP-codes kunnen worden gepusht en hoe media zoals e-mail en sms niet de beveiliging bieden die nodig is voor het verzenden van dit soort informatie. Zelfs gespecialiseerde apps zoals Google Authenticator zijn niet immuun voor succesvolle aanvallen, waardoor velen twijfelen aan de extra beveiliging van 2FA. Tijdens een presentatie tijdens de RSA-conferentie van vorige maand in San Francisco, bracht Alex Weinert, Director of Identity Security van Microsoft, enkele statistieken naar voren die aantonen hoe irrelevant deze angsten kunnen zijn.

Bijna alle gecompromitteerde bedrijfsaccounts gebruiken geen MFA

De cijfers die Weinert liet zien, beschouwde zakelijke gebruikers van Azure AD, het identiteits- en toegangsbeheersysteem van Microsoft, en ze fungeren als bewijs (alsof bewijs nodig is) dat zakelijke cloudgebaseerde accounts de hele tijd in gevaar komen. Alleen al in de maand januari ontdekte Microsoft succesvolle aanvallen op niet minder dan 1,2 miljoen accounts. Volgens Weinert vertegenwoordigt dit 0,5% van alle gebruikers, wat misschien niet zo veel klinkt, maar als je bedenkt dat dit alleen de maandelijkse statistieken zijn, beginnen de dingen er wat zorgwekkender uit te zien. Wat nog enger is, is de schijnbare voorkombaarheid van al deze aanvallen.

Maar liefst 99,9% van alle met succes gecompromitteerde accounts werden niet beschermd door MFA. Dit bewijst echt hoe slecht de focus soms misplaatst kan zijn. Terwijl mensen Multi-Factor Authentication niet inschakelen omdat ze bang zijn dat een gemotiveerde aanvaller hun tijdelijke codes kan stelen, breken de aanvallers zelf accounts in zonder dat ze dergelijke codes nodig hebben. Het is duidelijk dat de acceptatiegraad nog steeds laag is, en hoewel beveiligingsonderzoekers die tekortkomingen in 2FA-systemen ontdekken, dit voor het algemeen welzijn van iedereen doen, wijzen ze, door op de zwakke punten te wijzen, onbedoeld mensen weg van de functie. Dit is niet het enige probleem.

Verouderde authenticatieprotocollen en slecht wachtwoordbeheer helpen ook hackers

We mogen niet vergeten dat we het hebben over zakelijke accounts, wat de zaken meteen een stuk ingewikkelder maakt. Zoals Microsoft opmerkte, is MFA vaak niet eens een optie voor gebruikers.

Volgens 's werelds populairste leverancier van besturingssystemen is het overgrote deel van de aanvallen op de overname van accounts gericht op organisaties die Microsoft' legacy authenticatie 'noemen. Deze organisaties hebben hun volledige IT-infrastructuur opgebouwd rond oude protocollen die 2FA helemaal niet toestaan. De aanvallers weten duidelijk hoe zwak deze protocollen kunnen zijn, en ze zullen er niet voor terugschrikken om hiervan te profiteren. Helaas kost het overschakelen naar een moderner en veiliger authenticatiesysteem vaak veel werk en downtime die bedrijven simpelweg niet kunnen betalen, wat betekent dat gebruikers nooit de kans krijgen om tweefactorauthenticatie te gebruiken. Dit mag echter geen excuus zijn voor hun slechte accountbeveiliging.

Alex Weinert zei in zijn presentatie dat hackers wachtwoordspray gebruikten om ongeveer 40% van de gehackte accounts van januari te hacken. Bij een aanval met wachtwoordverstuiving gebruiken de cybercriminelen een relatief korte lijst met veelgebruikte wachtwoorden en proberen ze uit tegen een groter aantal gebruikersnamen. Omdat veel mensen de neiging hebben om gewone, gemakkelijk te raden wachtwoorden te gebruiken, zijn de aanvallen vaak succesvol.

Nog eens 40% van de 1,2 miljoen accounts die in de eerste maand van het jaar waren ingebroken, werd het slachtoffer van herhalingsaanvallen. Herhaling van schending is blijkbaar de term van Microsoft voor het vullen van inloggegevens - een aanval waarbij hackers gebruikersnamen en wachtwoorden gebruiken die zijn gestolen van één online service om accounts te openen op meerdere andere websites. Nogmaals, de nalatige houding van mensen ten aanzien van de beveiliging van hun accounts en hun neiging om wachtwoorden opnieuw te gebruiken, maken de aanval zeer succesvol.

In theorie is het voorkomen van accountaanvalaanvallen in een bedrijfsomgeving een relatief eenvoudige taak, maar feit is dat er nogal wat factoren spelen. De ontdekking van kwetsbaarheden deed twijfel rijzen over de efficiëntie van 2FA, wat, in combinatie met het feit dat de functie niet in alle bedrijfssystemen beschikbaar is, tot slechte acceptatiecijfers leidt.

Om de stand van zaken echt te verbeteren, moeten mensen zich realiseren hoe belangrijk goed wachtwoordbeheer is. Bedrijven en serviceproviders moeten er alles aan doen om ervoor te zorgen dat de extra beveiliging die 2FA biedt te allen tijde beschikbaar is, en gebruikers moeten in het reine komen met het feit dat hoewel dit geen wondermiddel is, deze eenvoudige functie vaak het verschil kan maken tussen een gecompromitteerd account en een veilig account.

March 16, 2020