Microsoft twierdzi, że 99,9% wszystkich włamań na konta można zapobiec, dodając MFA

99 Per Cent of Compromised Accounts Don't Use MFA

Uwierzytelnianie dwuskładnikowe (2FA) lub uwierzytelnianie wieloskładnikowe (MFA) nie jest (i nigdy nie będzie) doskonałe. Zmotywowani cyberprzestępcy opracowali już wiele różnych narzędzi i technik, które pomagają im ominąć 2FA, i wykorzystali je w rzeczywistych atakach. Co drugi dzień czytamy o tym, w jaki sposób można wyłudzać kody OTP oraz o tym, jak media takie jak e-mail i SMS nie zapewniają bezpieczeństwa wymaganego do przesyłania tego rodzaju informacji. Nawet wyspecjalizowane aplikacje, takie jak Google Authenticator, nie są odporne na udane ataki, co wielu wątpi w dodatkowe bezpieczeństwo zapewniane przez 2FA. W prezentacji podczas konferencji RSA w San Francisco w ubiegłym miesiącu Alex Weinert, dyrektor Microsoft ds. Bezpieczeństwa tożsamości, przedstawił statystyki, które pokazują, jak nieistotne mogą być te obawy.

Prawie wszystkie przejęte konta firmowe nie korzystają z usługi MFA

Liczby, które Weinert przedstawił, uważały użytkowników korporacyjnych Azure AD, systemu zarządzania tożsamością i dostępem Microsoft, i działają jako dowód (tak jakby dowód był potrzebny), że konta biznesowe w chmurze są ciągle narażone na szwank. Tylko w styczniu Microsoft wykrył udane ataki na nie mniej niż 1,2 miliona kont. Według Weinert stanowi to 0,5% wszystkich użytkowników, co może nie brzmieć zbyt wiele, ale jeśli weźmiesz pod uwagę, że są to tylko statystyki miesięczne, sytuacja zaczyna wyglądać nieco bardziej niepokojąco. Jeszcze bardziej przerażające jest jednak pozorne zapobieganie wszystkim tym atakom.

Ogromne 99,9% wszystkich pomyślnie przejętych kont nie było chronionych przez MSZ. To naprawdę pokazuje, jak bardzo źle może się zdarzyć sytuacja. Podczas gdy ludzie nie włączają uwierzytelniania wieloskładnikowego, ponieważ obawiają się, że zmotywowany atakujący może ukraść tymczasowe kody, sami atakujący włamują się na konta bez potrzeby posiadania takich kodów. Oczywiste jest, że wskaźniki adopcji są nadal niskie i chociaż badacze bezpieczeństwa, którzy odkrywają błędy w systemach 2FA, robią to dla większego dobra wszystkich, wskazując słabości, mimowolnie odstraszają ludzi od tej funkcji. Trzeba powiedzieć, że to nie jedyny problem.

Starsze protokoły uwierzytelniania i słabe zarządzanie hasłami również pomagają hakerom

Nie możemy zapominać, że mówimy o kontach firmowych, co natychmiast komplikuje sprawy. Jak zauważył Microsoft, często MFA nie jest nawet opcją dla użytkowników.

Według najpopularniejszego na świecie dostawcy systemu operacyjnego zdecydowana większość ataków polegających na przejęciu konta jest skierowana do organizacji, które używają czegoś, co Microsoft nazywa „tradycyjnym uwierzytelnianiem”. Organizacje te zbudowały całą infrastrukturę IT na starych protokołach, które w ogóle nie zezwalają na 2FA. Najwyraźniej atakujący wiedzą, jak słabe mogą być te protokoły, i nie będą się wahać przed skorzystaniem z tego faktu. Niestety przejście na bardziej nowoczesny i bezpieczny system uwierzytelniania często wymaga dużo pracy i przestojów, na które firmy po prostu nie mogą sobie pozwolić, co oznacza, że użytkownicy nigdy nie mają szansy na użycie uwierzytelniania dwuskładnikowego. Nie powinno to jednak usprawiedliwiać złego bezpieczeństwa konta.

Alex Weinert powiedział w swojej prezentacji, że hakerzy używali natryskiwania haseł, aby włamać się na około 40% zhakowanych kont w styczniu. W ataku polegającym na rozpylaniu haseł cyberprzestępcy używają stosunkowo krótkiej listy często używanych haseł i wypróbowują je w stosunku do szerszego zakresu nazw użytkowników. Ponieważ wiele osób używa zwykłych, łatwych do odgadnięcia haseł, ataki są często udane.

Kolejne 40% z 1,2 miliona kont, które zostały włamane w pierwszym miesiącu roku, padło ofiarą ataku polegającego na naruszeniu zasad powtórki. Powtórka z naruszenia jest najwyraźniej terminem Microsoft na upychanie danych uwierzytelniających - atak, podczas którego hakerzy używają nazw użytkowników i haseł skradzionych z jednej usługi online, aby otworzyć konta na wielu innych stronach internetowych. Po raz kolejny niedbałe podejście ludzi do bezpieczeństwa kont i skłonność do ponownego wykorzystywania haseł sprawiają, że atak jest bardzo udany.

Teoretycznie zapobieganie atakom polegającym na przejęciu konta w środowisku korporacyjnym jest stosunkowo prostą pracą, ale faktem jest, że w grę wchodzi całkiem sporo czynników. Odkrycie podatności budzi wątpliwości co do wydajności 2FA, co w połączeniu z faktem, że funkcja ta nie jest dostępna we wszystkich systemach korporacyjnych, skutkuje słabymi danymi adopcyjnymi.

Aby naprawdę poprawić stan rzeczy, ludzie muszą zrozumieć, jak ważne jest prawidłowe zarządzanie hasłami. Firmy i usługodawcy muszą zrobić wszystko, co w ich mocy, aby zapewnić dodatkowe bezpieczeństwo zapewniane przez 2FA przez cały czas, a użytkownicy powinni pogodzić się z faktem, że chociaż nie jest to panaceum, ta prosta funkcja może często odróżnić przejęte konto i bezpieczne.

March 16, 2020