Microsoft: έλεγχος ταυτότητας πολλαπλών παραγόντων προστασία κατά 99,9%

Η Microsoft αναφέρει ότι οι χρήστες που ενεργοποιούν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA από το authentication) στους λογαριασμούς τους μπορούν να εμποδίζουν το 99,9% των αυτοματοποιημένων επιθέσεων.

Η σύσταση δεν αφορά μόνο τους λογαριασμούς της Microsoft, αλλά και οποιοδήποτε άλλο προφίλ, σε οποιονδήποτε άλλο ιστότοπο ή υπηρεσία.

Microsoft

Εάν ο πάροχος υπηρεσιών που χρησιμοποιείτε υποστηρίζει το έλεγχο ταυτότητας πολλαπλών παραγόντων, η Microsoft συνιστά τη χρήση του ανεπιφύλακτα, ανεξάρτητα από το αν είναι κάτι απλό, όπως οι κωδικοί πρόσβασης που έρχονται με SMS, ή προηγμένες λύσεις βιομετρικών δεδομένων.

“Βάσει των μελετών μας, ο λογαριασμός σας είναι λιγότερο πιθανό να παραβιαστεί κατά 99,9% εάν χρησιμοποιήσετε MFA”, δήλωσε ο Alex Weinert, Διευθυντής Προγραμμάτων για την Ασφάλεια και την Προστασία της Ταυτότητας της Microsoft.

Οι κωδικοί πρόσβασης δεν έχουν πια σημασία

Ο Weinert ανέφερε επίσης ότι οι παλιές του τύπους “ποτέ να μην χρησιμοποιείτε έναν κωδικό πρόσβασης που έχει βρεθεί σε κάποια ” ή “χρήση πολύ μεγάλων κωδικών πρόσβασης” δεν βοηθούν πραγματικά.

Κάτι πρέπει να ξέρει. Ο Weinert ήταν ένας από τους τεχνικούς της Microsoft που εργάστηκε για να σταματήσει την χρήση κωδικών πρόσβασης που υπάρχουν online από προηγούμενες παραβιάσεις. Το στέλεχος της εταιρείες προσπαθούσε να σταματήσει την χρήση των συγκεκριμένων κωδικών πρόσβασης στις υπηρεσίες: Microsoft Account και Azure AD από το 2016.

Το αποτέλεσμα;  Οι χρήστες της Microsoft που χρησιμοποιούσαν ή προσπαθούσαν να χρησιμοποιήσουν κάποιο κωδικό πρόσβασης που είχε διαρρεύσει έπρεπε να αλλάξουν άμεσα τα διαπιστευτήρια τους.

Όμως ο Weinert παρατήρησε ότι παρά την απαγόρευση των συγκεκριμένων κωδικών, οι hackers συνέχιζαν να παραβιάζουν λογαριασμούς της Microsoft τα επόμενα χρόνια.

Αυτό το απέδωσε στο γεγονός ότι οι κωδικοί πρόσβασης ή η πολυπλοκότητά τους δεν έχουν πια σημασία. Σήμερα, οι hackers διαθέτουν πολλές διαφορετικές μεθόδους στη διάθεσή τους για να πάρουν αποκτήσουν τα διαπιστευτήρια των χρηστών και στις περισσότερες περιπτώσεις ο κωδικός πρόσβασης δεν έχει σημασία.

Με περισσότερες από 300 εκατομμύρια απόπειρες παραβίασης λογαριασμών που παρατηρούνται καθημερινά στις υπηρεσίες cloud της Microsoft, ο Weinert αναφέρει ότι η ενεργοποίηση λύσεων ελέγχου ταυτότητας πολλαπλών παραγόντων αποτρέπει το 99,9% αυτών των μη εξουσιοδοτημένων προσπαθειών σύνδεσης, ακόμη και αν οι hackers γνωρίζουν τον κωδικό πρόσβασης του χρήστη.

Το ποσοστό 0,1% αντιστοιχεί στις πολύ πιο εξελιγμένες επιθέσεις που χρησιμοποιούν τεχνικά μέσα για τη λήψη MFA tokens, αλλά αυτές οι επιθέσεις εξακολουθούν να είναι πολύ σπάνιες σε σύγκριση με την καθημερινότητα των botnets.


Τον Μάιο, η Google είχε αναφέρει κάτι παρόμοιο, δηλαδή: ότι οι χρήστες που πρόσθεσαν έναν αριθμό τηλεφώνου ανάκτησης στους λογαριασμούς τους (και έμμεσα ενεργοποιούσαν το 2fa μέσω SMS) βελτίωσαν επίσης την ασφάλεια του λογαριασμού τους.

Η έρευνά μας δείχνει ότι η απλή προσθήκη ενός τηλεφωνικού αριθμού ανάκτησης στον Λογαριασμό σας στην Google μπορεί να μπλοκάρει μέχρι και το 100% των αυτοματοποιημένων επιθέσεων από bots, το 99% των επιθέσεων μαζικού phishing και το 66% των στοχοθετημένων επιθέσεων που συνέβησαν κατά τη διάρκεια της έρευνάς μας .

Έτσι αφού η Microsoft και η Google, συμφωνούν, καλό θα ήταν να τους ακούσουμε. Από το iGuRu.gr έχουμε αναφέρει ξανά σε παλαιότερες δημοσιεύσεις ότι η των κωδικών πρόσβασης δεν βοηθάει πραγματικά.

Εικόνα MFA: NIST

__________________________

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).