Cuidado: 99,9% das contas invadidas da Microsoft não usam 2FA
Fotos VDB / Shutterstock
A autenticação de dois fatores (2FA) é o método mais eficaz para impedir o acesso não autorizado a uma conta online. Ainda precisa convencer? Veja esses números impressionantes da Microsoft.
Os números concretos
Em fevereiro de 2020, a Microsoft fez uma apresentação na Conferência da RSA intitulada "Quebrando dependências de senha: desafios na milha final da Microsoft". Toda a apresentação foi fascinante se você estiver interessado em proteger as contas de usuários. Mesmo se esse pensamento entorpecer sua mente, as estatísticas e os números apresentados foram surpreendentes.
A Microsoft rastreia mais de 1 bilhão de contas ativas mensalmente, o que representa quase 1/8 da população mundial. Isso gera mais de 30 bilhões de eventos de login mensais. Todo login em uma conta corporativa do O365 pode gerar várias entradas de login em vários aplicativos, além de eventos adicionais para outros aplicativos que usam o O365 para logon único.Se esse número parecer alto, lembre-se de que a Microsoft interrompe 300 milhões de tentativas fraudulentas de login todos os dias. Novamente, isso não é por ano ou por mês, mas 300 milhões por dia.
Em janeiro de 2020, 480.000 contas da Microsoft - 0,048% de todas as contas da Microsoft - foram comprometidas por ataques de pulverização. É quando um invasor executa uma senha comum (como "Spring2020!") Em listas de milhares de contas, na esperança de que alguns deles tenham usado essa senha comum.
Sprays são apenas uma forma de ataque; centenas e milhares a mais foram causados pelo preenchimento de credenciais. Para perpetuá-los, o invasor compra nomes de usuário e senhas na dark web e os experimenta em outros sistemas.
Em seguida, existe o phishing, que é quando um invasor o convence a fazer login em um site falso para obter sua senha. Esses métodos são como as contas on-line são tipicamente "invadidas", ” em linguagem comum.
No total, mais de 1 milhão de contas da Microsoft foram violadas em janeiro. São pouco mais de 32.000 contas comprometidas por dia, o que parece ruim até você se lembrar das 300 milhões de tentativas fraudulentas de login interrompidas por dia.Mas o número mais importante de tudo é que 99,9% de todas as violações de contas da Microsoft teriam sido interrompidas se as contas tivessem a autenticação de dois fatores ativada.
RELACIONADO: O que você deve fazer se receber um e-mail de phishing?
O que é autenticação de dois fatores?
Como lembrete rápido, a autenticação de dois fatores (2FA) requer um método adicional para autenticar sua conta, em vez de apenas um nome de usuário e senha. Esse método adicional geralmente é um código de seis dígitos enviado ao seu telefone por SMS ou gerado por um aplicativo. Você digita esse código de seis dígitos como parte do procedimento de login da sua conta.
A autenticação de dois fatores é um tipo de autenticação multifatorial (MFA). Também existem outros métodos MFA, incluindo tokens USB físicos que você conecta ao dispositivo ou digitalizações biométricas da sua impressão digital ou olho. No entanto, um código enviado para o seu telefone é de longe o mais comum.
No entanto, autenticação multifator é um termo amplo — uma conta muito segura pode exigir três fatores em vez de dois, por exemplo.
RELACIONADO: O que é autenticação de dois fatores e por que preciso disso?
2FA teria interrompido as violações?
Em ataques de spray e preenchimento de credenciais, os atacantes já têm uma senha - eles só precisam encontrar contas que a usem. Com o phishing, os invasores têm sua senha e o nome da sua conta, o que é ainda pior.
Se as contas da Microsoft violadas em janeiro tivessem a autenticação multifator ativada, apenas ter a senha não seria suficiente. O hacker também precisaria acessar os telefones de suas vítimas para obter o código MFA antes que ele pudesse fazer login nessas contas. Sem o telefone, o invasor não teria acesso a essas contas e não teria sido violado.
Se você acha que sua senha é impossível de adivinhar, e você nunca caiu em um ataque de phishing, vamos mergulhar nos fatos. De acordo com Alex Weinart, arquiteto principal da Microsoft, sua senha na verdade não importa muito quando se trata de proteger sua conta.
Isso não se aplica apenas às contas da Microsoft, todas as contas on-line são tão vulneráveis se não usam o MFA. Segundo o Google, a MFA interrompeu 100% dos ataques automatizados de bots (ataques de spray, preenchimento de credenciais e métodos automatizados similares).
Se você olhar no canto inferior esquerdo do gráfico de pesquisa do Google, a "Chave de segurança" ” O método foi 100% eficaz para interromper ataques automatizados de bot, phishing e direcionados.
Então, qual é a “ Chave de Segurança ” método? Ele usa um aplicativo no seu telefone para gerar um código MFA.
Enquanto o “ Código SMS ” O método também foi muito eficaz e é absolutamente melhor do que não ter MFA, um aplicativo é ainda melhor. Recomendamos o Authy, pois é gratuito, fácil de usar e poderoso.
RELACIONADO: a autenticação de dois fatores do SMS não é perfeita, mas você ainda deve usá-lo
Como ativar o 2FA para todas as suas contas
Você pode ativar o 2FA ou outro tipo de MFA para a maioria das contas online. Você encontrará a configuração em locais diferentes para contas diferentes. Geralmente, no entanto, ele está no menu de configurações da conta, em "Conta", ” ou “ Segurança. ”
Felizmente, temos guias que abordam como ativar o MFA para alguns dos sites e aplicativos mais populares:
- Amazon
- ID da Apple
- Google / Gmail
- Microsoft
- Próximo
- Nintendo
- Ring
- Slack
- Steam
O MFA é a maneira mais eficaz de proteger suas contas online. Se você ainda não o fez, reserve um tempo para ativá-lo o mais rápido possível, especialmente para contas críticas, como e-mail e serviços bancários.
Via: How to Geek
Veja Também:
Nenhum comentário