A Microsoft alega que 99,9% de todos os hacks de conta podem ser evitados com a adição de MFA

99 Per Cent of Compromised Accounts Don't Use MFA

A autenticação de dois fatores (2FA) ou autenticação de múltiplos fatores (MFA) não é (e nunca será) perfeita. Os cibercriminosos motivados já desenvolveram uma variedade de ferramentas e técnicas diferentes que os ajudam a contornar o 2FA, e eles os usaram em ataques do mundo real. Todos os dias, lemos sobre como os códigos OTP podem ser phishing e sobre como mídias como email e SMS não fornecem a segurança necessária para transmitir esse tipo de informação. Mesmo aplicativos especializados como o Google Authenticator não são imunes a ataques bem-sucedidos, o que faz com que muitos duvidem da segurança adicional fornecida pelo 2FA. Em uma apresentação durante a Conferência RSA do mês passado em São Francisco, Alex Weinert, diretor de segurança de identidade da Microsoft, divulgou algumas estatísticas que mostram quão irrelevantes esses medos podem ser.

Quase todas as contas corporativas comprometidas não usam MFA

Os números que Weinert exibiram usuários corporativos considerados do Azure AD, o sistema de gerenciamento de identidade e acesso da Microsoft, e agem como prova (como se fosse necessária prova) de que as contas comerciais baseadas na nuvem são comprometidas o tempo todo. Somente no mês de janeiro, a Microsoft detectou ataques bem-sucedidos contra nada menos que 1,2 milhão de contas. Segundo Weinert, isso representa 0,5% de todos os usuários, o que pode não parecer muito, mas quando você considera que são apenas estatísticas mensais, as coisas começam a parecer um pouco mais preocupantes. O que é ainda mais assustador, no entanto, é a aparente capacidade de prevenção de todos esses ataques.

Um enorme 99,9% de todas as contas comprometidas com sucesso não foram protegidas pelo MFA., O que realmente mostra o quão mal colocado o foco pode estar às vezes. Enquanto as pessoas não conseguem ativar a autenticação multifator porque se preocupam que um invasor motivado possa roubar seus códigos temporários, os próprios atacantes estão invadindo contas sem a necessidade de tais códigos. É claro que as taxas de adoção ainda são baixas e, embora os pesquisadores de segurança que descobrem falhas nos sistemas 2FA façam isso para o bem de todos, apontando as fraquezas, eles estão inadvertidamente afastando as pessoas do recurso. Deve-se dizer que este não é o único problema.

Protocolos de autenticação legados e gerenciamento de senha ruim também ajudam hackers

Não devemos esquecer que estamos falando de contas comerciais, o que imediatamente torna as coisas muito mais complicadas. Como a Microsoft apontou, muitas vezes, o MFA nem é uma opção para os usuários.

De acordo com o fornecedor de sistemas operacionais mais popular do mundo, a grande maioria dos ataques de controle de contas são direcionados a organizações que usam o que a Microsoft chama de "autenticação herdada". Essas organizações construíram toda a sua infraestrutura de TI em torno de protocolos antigos que não permitem o 2FA. Claramente, os atacantes sabem quão fracos esses protocolos podem ser e não se esquivam de tirar proveito desse fato. Infelizmente, a mudança para um sistema de autenticação mais moderno e seguro geralmente envolve muito trabalho e tempo de inatividade que as empresas simplesmente não podem pagar, o que significa que os usuários nunca têm a chance de usar a autenticação de dois fatores. Porém, isso não deve ser uma desculpa para a falta de segurança da conta.

Alex Weinert disse em sua apresentação que os hackers usaram a senha para invadir cerca de 40% das contas comprometidas de janeiro. Em um ataque de pulverização de senha, os cibercriminosos usam uma lista relativamente curta de senhas comumente usadas e as testam contra uma ampla variedade de nomes de usuários. Como muitas pessoas tendem a usar senhas comuns e fáceis de adivinhar, os ataques geralmente são bem-sucedidos.

Outros 40% dos 1,2 milhão de contas invadidas durante o primeiro mês do ano foram vítimas de violações de replay. Aparentemente, a repetição de violação é o termo da Microsoft para o preenchimento de credenciais - um ataque durante o qual hackers usam nomes de usuário e senhas roubados de um serviço online para abrir contas em vários outros sites. Mais uma vez, a atitude negligente das pessoas em relação à segurança de suas contas e sua tendência a reutilizar senhas tornam o ataque altamente bem-sucedido.

Em teoria, impedir ataques de controle de contas em um ambiente corporativo é um trabalho relativamente simples, mas o fato é que existem alguns fatores em jogo. A descoberta de vulnerabilidades lança dúvidas sobre a eficiência do 2FA, que, juntamente com o fato de o recurso não estar disponível em todos os sistemas corporativos, resulta em índices de adoção insuficientes.

Para realmente melhorar o estado das coisas, as pessoas devem perceber a importância do gerenciamento adequado de senhas. As empresas e os provedores de serviços devem fazer todo o possível para garantir que a segurança extra fornecida pelo 2FA esteja disponível o tempo todo, e os usuários devem aceitar o fato de que, embora não seja uma panacéia, esse recurso simples pode fazer a diferença entre um conta comprometida e segura.

March 16, 2020