Microsoft hävdar att 99,9% av alla kontohackar kan förebyggas genom att lägga till MFA

99 Per Cent of Compromised Accounts Don't Use MFA

Tvåfaktorautentisering (2FA) eller multifaktorautentisering (MFA) är inte (och kommer aldrig att vara) perfekt. Motiverade cyberbrottslingar har redan utvecklat en mängd olika verktyg och tekniker som hjälper dem att kringgå 2FA, och de har använt dem i attacker i den verkliga världen. Varannan dag läser vi om hur OTP-koder kan phishing och hur medier som e-post och SMS inte ger den säkerhet som krävs för att överföra denna typ av information. Även specialiserade appar som Google Authenticator är inte immun mot framgångsrika attacker, vilket gör att många tvivlar på den ytterligare säkerheten som 2FA ger. I en presentation under RSA-konferensen i San Francisco förra månaden tog Alex Weinert, Microsofts chef för identitetssäkerhet, fram en del statistik som visar hur irrelevant dessa rädsla kan vara.

Nästan alla komprometterade företagskonton använder inte MFA

Siffrorna som Weinert visade upp betraktade företagsanvändare av Azure AD, Microsofts system för identitets- och åtkomsthantering, och de fungerar som bevis (som om bevis behövs) för att affärsmolnbaserade konton komprometteras hela tiden. Enbart under januari månad upptäckte Microsoft framgångsrika attacker mot inte mindre än 1,2 miljoner konton. Enligt Weinert representerar detta 0,5% av alla användare, vilket kanske inte låter så mycket, men när du tänker på att det bara är månadsstatistik börjar sakerna se lite mer oroande ut. Vad som är ännu skrämmande är dock den uppenbara förebyggbarheten av alla dessa attacker.

Hela 99,9% av alla framgångsrikt komprometterade konton skyddades inte av MFA., Vilket verkligen visar hur illa missfördelat fokus kan vara ibland. Medan människor misslyckas med att aktivera flerfaktorautentisering eftersom de oroar sig för att en motiverad angripare kan stjäla sina tillfälliga koder, bryter angriparna själva konton utan att det behövs sådana koder alls. Det är tydligt att antagandesatserna fortfarande är låga, och även om säkerhetsforskare som upptäcker brister i 2FA-system gör det till förmån för alla, genom att påpeka svagheterna, avskräcker de oavsiktligt människor bort från funktionen. Det måste sägas att detta inte är det enda problemet.

Äldre autentiseringsprotokoll och dålig lösenordshantering hjälper också hackare

Vi får inte glömma att vi pratar om företagskonton, vilket omedelbart gör saker och ting mycket mer komplicerade. Som Microsoft påpekade är MFA ofta inte ens ett alternativ för användare.

Enligt världens mest populära operativsystemleverantör riktar den stora majoriteten av kontoövervakningsattacker till organisationer som använder det som Microsoft kallar "äldre autentisering." Dessa organisationer har byggt hela sin IT-infrastruktur kring gamla protokoll som inte tillåter 2FA alls. Angriparna vet tydligt hur svaga dessa protokoll kan vara, och de kommer inte att förhindra att dra nytta av detta faktum. Tyvärr innebär det att man byter till ett mer modernt och säkert autentiseringssystem ofta mycket arbete och drifttid som företag helt enkelt inte har råd med, vilket innebär att användare aldrig får chansen att använda tvåfaktorsautentisering. Detta bör dock inte vara en ursäkt för deras dåliga kontosäkerhet.

Alex Weinert sa i sin presentation att hackare använde lösenordssprejning för att hacka till cirka 40% av januari: s komprometterade konton. I ett lösenordssprutningsanfall använder cyberkriminella en relativt kort lista med vanliga lösenord och försöker dem mot ett större användarnamn. Eftersom många brukar använda vanliga lösenord som är lätt att gissa är attackerna ofta framgångsrika.

Ytterligare 40% av de 1,2 miljoner kontona som delades in under årets första månad föll offer för överträdelse av replayattacker. Brottsuppspelning är uppenbarligen Microsofts term för referensstoppning - en attack där hackare använder användarnamn och lösenord som stulits från en onlinetjänst för att öppna konton på flera andra webbplatser. Återigen gör människors vårdslös inställning till deras kontos säkerhet och deras tendens att återanvända lösenord en attack mycket framgångsrik.

I teorin är det relativt relativt enkelt att förhindra kontotövervakningsattacker i en företagsmiljö, men faktum är att det finns ganska många faktorer att spela. Upptäckten av sårbarheter känner tvivel kring effektiviteten hos 2FA, vilket, i kombination med det faktum att funktionen inte är tillgänglig i alla företagssystem, resulterar i dåliga antalet antaganden.

För att verkligen förbättra situationen måste människor inse hur viktigt korrekt lösenordshantering är. Företag och tjänsteleverantörer måste göra allt de kan för att säkerställa att den extra säkerheten som tillhandahålls av 2FA är tillgänglig hela tiden, och användare bör komma överens om att även om det inte är ett universalmedel kan denna enkla funktion ofta göra skillnaden mellan en komprometterat konto och ett säkert konto.

March 16, 2020