Microsoft聲稱可以通過添加MFA防止99.9%的所有帳戶被黑客入侵
兩要素身份驗證(2FA)或多因素身份驗證(MFA)並不是(而且永遠不會)完美。積極的網絡罪犯已經開發出各種不同的工具和技術來幫助他們繞過2FA,並且已將其用於現實世界中的攻擊。每隔一天,我們都會閱讀有關如何篡改OTP代碼以及有關電子郵件和SMS之類的媒介如何不提供傳輸此類信息所需的安全性的信息。甚至像Google Authenticator這樣的專用應用程序也無法倖免於成功的攻擊,這使許多人懷疑2FA提供的額外安全性。在上個月在舊金山舉行的RSA大會上的一次演講中,微軟身份安全總監Alex Weinert展示了一些統計數據,這些數據表明這些擔憂可能無關緊要。
幾乎所有受損的企業帳戶都不使用MFA
Weinert展示的數據顯示,Azure AD,Microsoft的身份和訪問管理系統是企業用戶,他們充當證明(好像需要證明)基於業務雲的帳戶一直受到侵害的證據。僅在1月,Microsoft就檢測到針對至少120萬個帳戶的成功攻擊。根據Weinert的說法,這佔所有用戶的0.5%,這聽起來似乎並不多,但是當您考慮到這些只是每月的統計信息時,情況似乎就更加令人擔憂。然而,更可怕的是所有這些攻擊的明顯可預防性。
MFA。沒有保護所有成功入侵帳戶中高達99.9%的帳戶,這確實證明了有時錯放焦點的嚴重性。人們由於擔心有動機的攻擊者可以竊取其臨時代碼而無法啟用“多因素身份驗證”,而攻擊者本身卻在完全不需要此類代碼的情況下闖入帳戶。顯然,採用率仍然很低,儘管發現2FA系統缺陷的安全研究人員通過指出缺陷來為每個人謀求更大利益,但他們無意中阻止了人們使用該功能。必須說,這不是唯一的問題。
舊版身份驗證協議和不良的密碼管理也可以幫助黑客
我們一定不要忘記我們在談論商業帳戶,這立即使事情變得更加複雜。正如微軟指出的那樣,MFA甚至不是用戶的選擇。
根據全球最受歡迎的操作系統供應商的說法,絕大多數帳戶接管攻擊都是針對使用Microsoft稱為“舊版身份驗證”的組織的。這些組織已圍繞完全不允許2FA的舊協議構建了整個IT基礎架構。顯然,攻擊者知道這些協議可能有多弱,並且他們不會迴避利用這一事實。不幸的是,改用更現代,更安全的身份驗證系統通常會涉及公司根本無法承受的大量工作和停機時間,這意味著永遠不會給用戶提供使用雙重身份驗證的機會。但是,這不應成為其帳戶安全性較差的藉口。
亞歷克斯·韋納特(Alex Weinert)在演講中表示,黑客使用密碼噴射技術入侵了1月份約40%的受感染帳戶。在密碼噴霧攻擊中 ,網絡犯罪分子使用相對較短的常用密碼列表,並嘗試使用更廣泛的用戶名。由於許多人傾向於使用易於猜測的通用密碼,因此攻擊通常是成功的。
在今年第一個月內闖入的120萬個帳戶中,另有40%成為破壞重播攻擊的受害者。違反重播顯然是Microsoft的憑據填充術語-一種攻擊,在此攻擊期間,黑客使用從一項在線服務竊取的用戶名和密碼在其他多個網站上開設帳戶。人們對帳戶安全的疏忽態度和重用密碼的趨勢再次使攻擊非常成功。
從理論上講,在公司環境中防止帳戶接管攻擊是一項相對簡單的工作,但實際上,有很多因素在起作用。漏洞的發現使人們對2FA的效率產生了懷疑,再加上該功能並非在所有公司係統中都可用的事實,導致採用率不高。
要真正改善事務狀態,人們必須意識到正確的密碼管理非常重要。公司和服務提供商必須盡一切努力確保2FA提供的額外安全性始終可用,並且用戶應該接受這樣一個事實,即它不是萬能藥,但這一簡單功能通常可以使遭到入侵的帳戶和安全帳戶。