Mamy 2020 rok, a wiele osób dalej wykorzystuje te same hasła w większości usług, z których korzysta. Ba, większość z nich zapewne nie słyszała o czymś takim jak „weryfikacja dwuskładnikowa” lub intencjonalnie nie stosuje jej jako dodatkowego zabezpieczenia. Tymczasem, firma Microsoft poinformowała właśnie, że 99,9% wszystkich kont, do których dostęp uzyskują hakerzy byłaby zupełnie bezpieczna, gdyby ich posiadacze korzystali z wieloskładnikowej autentykacji.
W trakcie konferencji RSA związanej z kwestiami dotyczącymi bezpieczeństwa, inżynierowie Microsoftu podali, że aż 99,9% z wszystkich zarejestrowanych przez nich włamań można było uniknąć. Gigant z Redmond śledzi codziennie ponad 30 miliardów prób logowań, wykonywanych łącznie każdego miesiąca przez miliard różnych osób. Co miesiąc aż 0,5% z wszystkich monitorowanych kont pada ofiarą pomyślnego ataku, co w styczniu 2020 roku przełożyło się na liczbę 1,2 miliona włamań.
Odpowiedź na problemy to weryfikacja wielkoskładnikowa
Spośród wszystkich zhakowanych kont do użytku firmowego, zaledwie 11% miało włączoną weryfikację wieloskładnikową. W sytuacjach, w których udało się ją ominąć przeważnie zawodził człowiek padający ofiarą phishingu, traktowanego w przytaczanych statystykach jako oddzielny atak. Większość z wszystkich włamań udaje się za sprawą „password sprayingu”, czyli zautomatyzowanym próbom logowania na różne konta za pomocą zestawu najczęściej używanych przez ludzkość haseł. Aż 40% wszystkich włamań na konta w styczniu udało się za sprawą tej metody.
Aż 40% wszystkich kont zhakowano poprzez „password spraying” | Źródło: Microsoft
Równie popularnym sposobem ataku jest logowanie za pomocą haseł pochodzących z jakiegoś wycieku. Ze względu na powtarzalność haseł ustanawianych przez ludzi w obrębie różnych usług, cyberprzestępcy uzyskali dostęp do 40% pozostałych ujętych w styczniowej statystyce kont.
Powtarzalność haseł pomiędzy usługami to powód kolejnych 40% włamań | Źródło: Microsoft
Lee Walker z Microsoftu mówi, że aż 60% użytkowników stosuje powtarzalne hasła. Często hasła firmowe stosowane są także do kont prywatnych, co stanowi poważne naruszenie bezpieczeństwa. W dobie szerokiej dostępności darmowych menadżerów haseł takie praktyki są niedopuszczalne.
Walker powiedział też, że zdecydowana większość wykorzystujących powyższe metody, które mają miejsce w infrastrukturze kont Microsoftu, są przeprowadzane i są ukierunkowane na starsze starsze protokoły uwierzytelniania, takie jak SMTP, IMAP, POP i inne. Starsze protokoły uwierzytelniania nie obsługują rozwiązań MFA (autentykacji wieloskładnikowej), co czyni je idealnym celem dla hakerów.
Microsoft ciągle powtarza firmom i użytkownikom indywidualnym, aby włączyli rozwiązanie MFA. Korzystanie z MFA – kluczy sprzętowych, SMSów, maili itp. – blokuje 99,9% wszystkich włamań na konta.
Jeśli jakimś cudem nie korzystacie z MFA w swoich kontach, zróbcie to.
Źródło: Microsoft