Microsofts interne sikkerhedsrevision af trusselsvurdering afslører ekstremt dårlig adgangskodehygiejne for 'millioner' brugere
Microsoft gennemførte for nylig sin egen uafhængige sikkerhedsrevision til trusselvurdering, og resultaterne var chokerende. Windows OS-producenten, der også tilbyder adskillige andre skybaserede tjenester, indså, at "millioner" brugere praktiserer ekstremt dårlig adgangskodshygiejne. Med andre ord genbruger et stort antal brugere loginoplysninger, hvilket gør det ekstremt let for hackere og ondsindede agenturer at få uautoriseret adgang gennem legitime loginteknikker.
Microsoft foretog en trusselvurdering af sine tjenester såvel som af brugerne af disse tjenester mellem januar og marts i år. Virksomheden hævder, at det var chokeret over resultaterne af den private og interne sikkerhedsrevision. Mens mange Microsoft-tjenester i sagens natur er sikre og godt beskyttede, er det brugerne, der ser ud til at være skødesløse over for sikkerheds- og sikkerhedsprotokoller med deres data. Ifølge Microsofts trusselforskningsteam genbruger millioner af brugere skødesløst deres adgangskoder i Microsofts tjenester.
Tre milliarder Microsoft-konti analyseret med chokerende åbenbaringer om adgangskode og online sikkerhedsprotokoller:
Som en løbende indsats for at styrke sikkerheden for brugere såvel som tjenester, som Microsoft tilbyder, kontrollerede virksomheden over 3 milliarder konti og loginoplysninger. Chokerende nok havde 44 millioner Microsoft-tjenester og Azure AD-konti identiske eller matchende loginoplysninger. Dette indikerer tydeligt, at brugerne uforsigtigt genbruger deres loginoplysninger på flere platforme.
Hvad der er endnu mere bekymrende er, at Microsoft opdagede et stort antal fra de 3 milliarder konti, der blev revideret, blev lækket online. Dette har rutinemæssigt bedt Microsoft om at tvinge en nulstilling af adgangskoden for at sikre, at kontiene blev beskyttet mod digitalt misbrug. Som et resultat har flere brugere af Microsoft-tjenester rutinemæssigt modtaget meddelelser og e-mails, der har informeret dem om loginoplysningerne, der nulstilles. Under sådanne omstændigheder rådes brugerne til at følge en loginprocedure, der involverer bekræftelse af ejerskab af kontiene.
Det andet vigtige aspekt, som Microsoft opdagede, var, at 30 procent af de genbrugte eller modificerede adgangskoder kan knækkes inden for kun 10 gæt. Det er overflødigt at tilføje, dette giver hackere mulighed for at implementere et angreb om gentagelse af brud. Kort sagt, når hackere med succes kan få uautoriseret adgang gennem legitime loginoplysninger, prøver de at bruge lignende legitimationsoplysninger til også at bryde ind på andre konti. Det er overflødigt at nævne, at sådanne angreb med dårlig adgangskodehygiejne har en meget høj sandsynlighed for succes.
Sådan beskyttes online-konti mod hackingforsøg?
Det mest vigtige aspekt af onlinesikkerhed er at bruge unikke loginoplysninger til hver platform. Selvom Microsoft tilbyder flere tjenester, er det afgørende, at brugerne indtaster en anden adgangskode for hver tjeneste. Dette reducerer betydeligt risikoen for et brud-gentagelsesangreb.
Den anden metode, som skal bruges i forbindelse med stærke og unikke adgangskoder, er tofaktorautentificering (2FA). Microsoft hævder, at 99 procent af angrebene kan forhindres ved hjælp af Multi-Factor Authentication. I øvrigt tilbyder Microsoft brugerne muligheden for at oprette unikke brugernavne i stedet for at stole på e-mail-id'et. Dette giver brugerne endnu en metode til at afskrække et angreb.