Microsoft声称可以通过添加MFA防止99.9%的所有帐户被黑客入侵

99 Per Cent of Compromised Accounts Don't Use MFA

两要素身份验证(2FA)或多因素身份验证(MFA)并不是(而且永远不会)完美。积极的网络罪犯已经开发出各种不同的工具和技术来帮助他们绕过2FA,并且已将其用于现实世界中的攻击。每隔一天,我们都会阅读有关如何篡改OTP代码以及有关电子邮件和SMS之类的媒介如何不提供传输此类信息所需的安全性的信息。甚至像Google Authenticator这样的专用应用程序也无法幸免于成功的攻击,这使许多人怀疑2FA提供的额外安全性。在上个月在旧金山举行的RSA大会上的一次演讲中,微软身份安全总监Alex Weinert展示了一些统计数据,这些数据表明这些担忧可能无关紧要。

几乎所有受损的企业帐户都不使用MFA

Weinert展示的数据显示,Azure AD,Microsoft的身份和访问管理系统是企业用户,他们充当证明(好像需要证明)基于业务云的帐户一直受到侵害的证据。仅在1月,Microsoft就检测到针对至少120万个帐户的成功攻击。根据Weinert的说法,这占所有用户的0.5%,这听起来似乎并不多,但是当您考虑到这些只是每月的统计信息时,情况似乎就更加令人担忧。然而,更可怕的是所有这些攻击的明显可预防性。

MFA。没有保护所有成功入侵帐户中高达99.9%的帐户,这确实证明了有时错放焦点的严重性。人们由于担心有动机的攻击者可以窃取其临时代码而无法启用“多因素身份验证”,而攻击者本身却在完全不需要此类代码的情况下闯入帐户。显然,采用率仍然很低,尽管发现2FA系统缺陷的安全研究人员通过指出缺陷来为每个人谋求更大利益,但他们无意中阻止了人们使用该功能。必须说,这不是唯一的问题。

旧版身份验证协议和不良的密码管理也可以帮助黑客

我们一定不要忘记我们在谈论商业帐户,这立即使事情变得更加复杂。正如微软指出的那样,MFA甚至不是用户的选择。

根据全球最受欢迎的操作系统供应商的说法,绝大多数帐户接管攻击都是针对使用Microsoft称为“旧版身份验证”的组织的。这些组织已围绕完全不允许2FA的旧协议构建了整个IT基础架构。显然,攻击者知道这些协议可能有多弱,并且他们不会回避利用这一事实。不幸的是,切换到更现代,更安全的身份验证系统通常会涉及公司根本负担不起的大量工作和停机时间,这意味着永远不会给用户提供使用双重身份验证的机会。但是,这不应成为其帐户安全性较差的借口。

亚历克斯·韦纳特(Alex Weinert)在演讲中表示,黑客使用密码喷射技术入侵了1月份约40%的受感染帐户。在密码喷雾攻击中 ,网络犯罪分子使用相对较短的常用密码列表,并尝试使用更广泛的用户名。由于许多人倾向于使用易于猜测的通用密码,因此攻击通常是成功的。

在今年第一个月内闯入的120万个帐户中,另有40%成为破坏重播攻击的受害者。违反重播显然是Microsoft的凭证填充术语-一种攻击,在此攻击期间,黑客使用从一项在线服务窃取的用户名和密码在其他多个网站上开设帐户。人们对帐户安全的疏忽态度和重用密码的趋势再次使攻击非常成功。

从理论上讲,在公司环境中防止帐户接管攻击是一项相对简单的工作,但事实上,有很多因素在起作用。漏洞的发现使人们对2FA的效率产生了怀疑,再加上该功能并非在所有公司系统中都可用的事实,导致采用率不高。

要真正改善事务状态,人们必须意识到正确的密码管理非常重要。公司和服务提供商必须尽一切努力确保2FA提供的额外安全性始终可用,并且用户应该接受这样一个事实,即它不是万能药,但这一简单功能通常可以使遭到入侵的帐户和安全帐户。

March 16, 2020