Η Microsoft αναφέρει ότι οι χρήστες που ενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA από το multi-factor authentication) στους λογαριασμούς τους μπορούν να εμποδίζουν το 99,9% των αυτοματοποιημένων επιθέσεων.
Η σύσταση δεν αφορά μόνο τους λογαριασμούς της Microsoft, αλλά και οποιοδήποτε άλλο προφίλ, σε οποιονδήποτε άλλο ιστότοπο ή online υπηρεσία.
Εάν ο πάροχος υπηρεσιών που χρησιμοποιείτε υποστηρίζει το έλεγχο ταυτότητας πολλαπλών παραγόντων, η Microsoft συνιστά τη χρήση του ανεπιφύλακτα, ανεξάρτητα από το αν είναι κάτι απλό, όπως οι κωδικοί πρόσβασης που έρχονται με SMS, ή προηγμένες λύσεις βιομετρικών δεδομένων.
“Βάσει των μελετών μας, ο λογαριασμός σας είναι λιγότερο πιθανό να παραβιαστεί κατά 99,9% εάν χρησιμοποιήσετε MFA”, δήλωσε ο Alex Weinert, Διευθυντής Προγραμμάτων για την Ασφάλεια και την Προστασία της Ταυτότητας της Microsoft.
Οι κωδικοί πρόσβασης δεν έχουν πια σημασία
Ο Weinert ανέφερε επίσης ότι οι παλιές συμβουλές του τύπους “ποτέ να μην χρησιμοποιείτε έναν κωδικό πρόσβασης που έχει βρεθεί σε κάποια παραβίαση” ή “χρήση πολύ μεγάλων κωδικών πρόσβασης” δεν βοηθούν πραγματικά.
Κάτι πρέπει να ξέρει. Ο Weinert ήταν ένας από τους τεχνικούς της Microsoft που εργάστηκε για να σταματήσει την χρήση κωδικών πρόσβασης που υπάρχουν online από προηγούμενες παραβιάσεις. Το στέλεχος της εταιρείες προσπαθούσε να σταματήσει την χρήση των συγκεκριμένων κωδικών πρόσβασης στις υπηρεσίες: Microsoft Account και Azure AD από το 2016.
Το αποτέλεσμα; Οι χρήστες της Microsoft που χρησιμοποιούσαν ή προσπαθούσαν να χρησιμοποιήσουν κάποιο κωδικό πρόσβασης που είχε διαρρεύσει έπρεπε να αλλάξουν άμεσα τα διαπιστευτήρια τους.
Όμως ο Weinert παρατήρησε ότι παρά την απαγόρευση των συγκεκριμένων κωδικών, οι hackers συνέχιζαν να παραβιάζουν λογαριασμούς της Microsoft τα επόμενα χρόνια.
Αυτό το απέδωσε στο γεγονός ότι οι κωδικοί πρόσβασης ή η πολυπλοκότητά τους δεν έχουν πια σημασία. Σήμερα, οι hackers διαθέτουν πολλές διαφορετικές μεθόδους στη διάθεσή τους για να πάρουν αποκτήσουν τα διαπιστευτήρια των χρηστών και στις περισσότερες περιπτώσεις ο κωδικός πρόσβασης δεν έχει σημασία.
Με περισσότερες από 300 εκατομμύρια απόπειρες παραβίασης λογαριασμών που παρατηρούνται καθημερινά στις υπηρεσίες cloud της Microsoft, ο Weinert αναφέρει ότι η ενεργοποίηση λύσεων ελέγχου ταυτότητας πολλαπλών παραγόντων αποτρέπει το 99,9% αυτών των μη εξουσιοδοτημένων προσπαθειών σύνδεσης, ακόμη και αν οι hackers γνωρίζουν τον κωδικό πρόσβασης του χρήστη.
Το ποσοστό 0,1% αντιστοιχεί στις πολύ πιο εξελιγμένες επιθέσεις που χρησιμοποιούν τεχνικά μέσα για τη λήψη MFA tokens, αλλά αυτές οι επιθέσεις εξακολουθούν να είναι πολύ σπάνιες σε σύγκριση με την καθημερινότητα των botnets.
Τον Μάιο, η Google είχε αναφέρει κάτι παρόμοιο, δηλαδή: ότι οι χρήστες που πρόσθεσαν έναν αριθμό τηλεφώνου ανάκτησης στους λογαριασμούς τους (και έμμεσα ενεργοποιούσαν το 2fa μέσω SMS) βελτίωσαν επίσης την ασφάλεια του λογαριασμού τους.
Η έρευνά μας δείχνει ότι η απλή προσθήκη ενός τηλεφωνικού αριθμού ανάκτησης στον Λογαριασμό σας στην Google μπορεί να μπλοκάρει μέχρι και το 100% των αυτοματοποιημένων επιθέσεων από bots, το 99% των επιθέσεων μαζικού phishing και το 66% των στοχοθετημένων επιθέσεων που συνέβησαν κατά τη διάρκεια της έρευνάς μας .
Έτσι αφού η Microsoft και η Google, συμφωνούν, καλό θα ήταν να τους ακούσουμε. Από το iGuRu.gr έχουμε αναφέρει ξανά σε παλαιότερες δημοσιεύσεις ότι η αλλαγή των κωδικών πρόσβασης δεν βοηθάει πραγματικά.
Εικόνα MFA: NIST
__________________________
- FBI: αλλάξτε συχνά κωδικούς. Ερευνητές: Μην αλλάζετε passwords
- Password: η συχνή αλλαγή βοηθάει στην ασφάλεια;