Dvoufaktorové ověřování (2FA) je nejúčinnější metodou prevence neoprávněného přístupu k online účtu. Stále potřebujete přesvědčivé? Podívejte se na tato čísla od Microsoftu.
Tvrdá čísla
V únoru 2020 společnost Microsoft poskytla prezentace na Konference RSA s názvem „Breaking Password Dependencies: Challenges in the Final Mile ve společnosti Microsoft.“ Celá prezentace byla fascinující, pokud vás zajímá, jak zabezpečit uživatelské účty. I když vám ta myšlenka otupí mysl, předložené statistiky a čísla byla úžasná.
Společnost Microsoft sleduje více než 1 miliardu aktivních účtů měsíčně, což je téměř 1/8 světové populace . Ty generují více než 30 miliard přihlašovacích událostí měsíčně. Každé přihlášení k firemnímu účtu O365 může generovat více položek přihlášení napříč více aplikacemi, stejně jako další události pro další aplikace, které používají O365 pro jednotné přihlášení.
Pokud to číslo zní velké, pamatujte na to Společnost Microsoft každý den zastaví 300 milionů pokusů o podvodné přihlášení . To opět není za rok ani za měsíc, ale za 300 milionů denně .
V lednu 2020 bylo útoky postřikem napadeno 480 000 účtů Microsoft - 0,048 procent všech účtů Microsoft. To je případ, kdy útočník spustí společné heslo (například „Spring2020!“) Proti seznamům tisíců účtů v naději, že některé z nich toto společné heslo použijí.
Spreje jsou jen jednou z forem útoku; stovky a tisíce dalších byly způsobeny plněním pověření. Aby je udržel, útočník kupuje uživatelská jména a hesla na temném webu a zkouší je na jiných systémech.
Pak je tu phishing , což je případ, kdy vás útočník přesvědčí, abyste se přihlásili na falešný web a získali heslo. Tyto metody jsou jak jsou online účty obvykle „hacknuty“ v běžné řeči.
Celkově bylo v lednu porušeno více než 1 milion účtů Microsoft. To je něco přes 32 000 napadených účtů denně, což zní špatně, dokud si nepamatujete 300 milionů podvodných pokusů o přihlášení zastavených denně.
Ale nejdůležitější ze všeho je to Bylo by zastaveno 99,9 procenta všech porušení účtu Microsoft pokud účty měly povoleno dvoufaktorové ověřování.
PŘÍBUZNÝ: Co byste měli dělat, pokud obdržíte phishingový e-mail?
Co je dvoufaktorové ověřování?
Jako rychlou připomínku dvoufaktorové ověřování (2FA) vyžaduje další metodu pro ověření vašeho účtu, nikoli jen uživatelské jméno a heslo. Tou další metodou je často šestimístný kód zaslány na váš telefon SMS nebo generované aplikací. Tento šestimístný kód poté zadáte jako součást postupu přihlašování k účtu.
Dvoufaktorové ověřování je typ vícefaktorového ověřování (MFA). Existují i další metody MFA, včetně fyzických tokenů USB, které připojíte k zařízení, nebo biometrických skenů otisků prstů nebo očí. Kód odeslaný do vašeho telefonu je však zdaleka nejběžnější.
Multifaktorové ověřování je však široký pojem - například velmi zabezpečený účet může místo dvou vyžadovat tři faktory.
PŘÍBUZNÝ: Co je dvoufaktorové ověřování a proč ho potřebuji?
Zastavila by 2FA přestupky?
Při útokech stříkáním a plnění pověření mají útočníci již heslo - stačí najít účty, které jej používají. Při phishingu mají útočníci vaše heslo i název vašeho účtu, což je ještě horší.
Pokud by účty Microsoft, které byly v lednu porušeny, měly povoleno vícefaktorové ověřování, nestačilo by mít heslo. Hacker by také potřeboval přístup k telefonům svých obětí, aby získal kód MFA, než by se mohl přihlásit k těmto účtům. Bez telefonu by útočník neměl přístup k těmto účtům a nebyl by porušen.
Pokud si myslíte, že vaše heslo nelze uhodnout, a nikdy byste nepodlehli phishingovému útoku, pojďme se ponořit do faktů. Podle Alexe Weinarta, hlavního architekta společnosti Microsoft, vaše heslo vlastně na tom tolik nezáleží pokud jde o zabezpečení vašeho účtu.
To neplatí pouze pro účty Microsoft - každý online účet je stejně zranitelný, pokud nepoužívá MFA. Podle Google MFA se zastavila na 100 procent automatizovaných útoků botů (útoky postřikem, plnění pověření a podobné automatizované metody).
Pokud se podíváte na levou dolní část výzkumného grafu Google, metoda „Bezpečnostní klíč“ byla stoprocentně účinná při zastavení automatizovaných robotických, phishingových a cílených útoků.
Jaká je tedy metoda „bezpečnostního klíče“? Vygeneruje kód MFA pomocí aplikace v telefonu.
Zatímco metoda „SMS kódu“ byla také velmi účinná - a je to naprosto lepší, než nemít MFA vůbec - aplikace je ještě lepší. Doporučujeme Authy , protože je zdarma, snadno použitelný a výkonný.
PŘÍBUZNÝ: SMS dvoufaktorové ověřování není dokonalé, ale měli byste jej přesto používat
Jak povolit 2FA pro všechny vaše účty
U většiny online účtů můžete povolit 2FA nebo jiný typ MFA. Nastavení najdete na různých místech pro různé účty. Obecně se však nachází v nabídce nastavení účtu v části „Účet“ nebo „Zabezpečení“.
Naštěstí máme průvodce, který popisuje, jak zapnout MFA pro některé z nejpopulárnějších webů a aplikací:
- Amazonka
- Apple ID
- Google / Gmail
- Microsoft
- Hnízdo
- Nintendo
- Prsten
- Slack
- Parní
- Cvrlikání
MFA je nejúčinnější způsob zabezpečení vašich online účtů. Pokud jste to ještě neudělali, udělejte si čas a zapněte jej co nejdříve - zejména u kritických účtů, jako jsou e-maily a bankovnictví.
