Die Zwei-Faktor-Authentifizierung (2FA) ist die effektivste Methode, um den unbefugten Zugriff auf ein Online-Konto zu verhindern. Müssen Sie noch überzeugen? Schauen Sie sich diese atemberaubenden Zahlen von Microsoft an.
Die harten Zahlen
Im Februar 2020 gab Microsoft eine Präsentation Bei der RSA-Konferenz mit dem Titel "Aufheben von Passwortabhängigkeiten: Herausforderungen in der letzten Meile bei Microsoft." Die gesamte Präsentation war faszinierend, wenn Sie daran interessiert sind, Benutzerkonten zu sichern. Selbst wenn dieser Gedanke Ihren Verstand betäubt, waren die präsentierten Statistiken und Zahlen erstaunlich.
Microsoft verfolgt monatlich über 1 Milliarde aktive Konten fast 1/8 der Weltbevölkerung . Diese generieren mehr als 30 Milliarden monatliche Anmeldeereignisse. Jede Anmeldung bei einem O365-Unternehmenskonto kann mehrere Anmeldeeinträge für mehrere Apps sowie zusätzliche Ereignisse für andere Apps generieren, die O365 für die einmalige Anmeldung verwenden.
Wenn diese Zahl groß klingt, denken Sie daran Microsoft stoppt täglich 300 Millionen betrügerische Anmeldeversuche . Auch das ist nicht pro Jahr oder pro Monat, sondern 300 Millionen pro Tag .
Im Januar 2020 wurden 480.000 Microsoft-Konten - 0,048 Prozent aller Microsoft-Konten - durch Sprühangriffe gefährdet. In diesem Fall führt ein Angreifer ein gemeinsames Kennwort (wie „Spring2020!“) Für Listen mit Tausenden von Konten aus, in der Hoffnung, dass einige von ihnen dieses gemeinsame Kennwort verwendet haben.
Sprays sind nur eine Angriffsform. Hunderte und Tausende weitere wurden durch das Ausfüllen von Anmeldeinformationen verursacht. Um diese aufrechtzuerhalten, kauft der Angreifer Benutzernamen und Passwörter im dunklen Internet und versucht sie auf anderen Systemen.
Dann gibt es phishing In diesem Fall überzeugt Sie ein Angreifer, sich auf einer gefälschten Website anzumelden, um Ihr Passwort zu erhalten. Diese Methoden sind wie Online-Konten normalerweise "gehackt" werden im allgemeinen Sprachgebrauch.
Insgesamt wurden im Januar über 1 Million Microsoft-Konten verletzt. Das sind etwas mehr als 32.000 kompromittierte Konten pro Tag, was sich schlecht anhört, bis Sie sich an die 300 Millionen betrügerischen Anmeldeversuche erinnern, die pro Tag gestoppt wurden.
Aber die wichtigste Zahl von allen ist das 99,9 Prozent aller Microsoft-Kontoverletzungen wären gestoppt worden Wenn für die Konten die Zwei-Faktor-Authentifizierung aktiviert war.
VERBUNDEN: Was sollten Sie tun, wenn Sie eine Phishing-E-Mail erhalten?
Was ist eine Zwei-Faktor-Authentifizierung?
Zur schnellen Erinnerung: Zwei-Faktor-Authentifizierung (2FA) erfordert eine zusätzliche Methode zur Authentifizierung Ihres Kontos und nicht nur einen Benutzernamen und ein Passwort. Diese zusätzliche Methode ist häufig ein sechsstelliger Code per SMS an Ihr Telefon gesendet oder von einer App generiert. Anschließend geben Sie diesen sechsstelligen Code als Teil des Anmeldevorgangs für Ihr Konto ein.
Die Zwei-Faktor-Authentifizierung ist eine Art der Multifaktor-Authentifizierung (MFA). Es gibt auch andere MFA-Methoden, einschließlich physischer USB-Token, die Sie an Ihr Gerät anschließen, oder biometrischer Scans Ihres Fingerabdrucks oder Auges. Ein an Ihr Telefon gesendeter Code ist jedoch bei weitem am häufigsten.
Die Multifaktorauthentifizierung ist jedoch ein weit gefasster Begriff. Für ein sehr sicheres Konto sind möglicherweise drei statt zwei Faktoren erforderlich.
VERBUNDEN: Was ist eine Zwei-Faktor-Authentifizierung und warum brauche ich sie?
Hätte 2FA die Verstöße gestoppt?
Bei Spray-Angriffen und beim Füllen von Anmeldeinformationen haben die Angreifer bereits ein Kennwort - sie müssen nur Konten finden, die es verwenden. Beim Phishing haben die Angreifer sowohl Ihr Passwort als auch Ihren Kontonamen, was noch schlimmer ist.
Wenn für die Microsoft-Konten, gegen die im Januar verstoßen wurde, die Multifaktorauthentifizierung aktiviert worden wäre, hätte es nicht ausgereicht, nur das Kennwort zu haben. Der Hacker hätte auch Zugriff auf die Telefone seiner Opfer benötigt, um den MFA-Code zu erhalten, bevor er sich bei diesen Konten anmelden konnte. Ohne das Telefon hätte der Angreifer nicht auf diese Konten zugreifen können und sie wären nicht verletzt worden.
Wenn Sie der Meinung sind, dass Ihr Passwort nicht zu erraten ist und Sie niemals auf einen Phishing-Angriff hereinfallen würden, gehen wir auf die Fakten ein. Laut Alex Weinart, einem Hauptarchitekten bei Microsoft, Ihr Passwort tatsächlich ist nicht so wichtig wenn es um die Sicherung Ihres Kontos geht.
Dies gilt nicht nur für Microsoft-Konten. Jedes Online-Konto ist genauso anfällig, wenn es kein MFA verwendet. Laut Google MFA hat 100 Prozent gestoppt von automatisierten Bot-Angriffen (Spray-Angriffe, Ausfüllen von Anmeldeinformationen und ähnliche automatisierte Methoden).
Wenn Sie sich das Forschungsdiagramm von Google unten links ansehen, war die Methode "Sicherheitsschlüssel" zu 100 Prozent wirksam, um automatisierte Bot-, Phishing- und gezielte Angriffe zu stoppen.
Was ist die "Sicherheitsschlüssel" -Methode? Es verwendet eine App auf Ihrem Telefon, um einen MFA-Code zu generieren.
Die Methode „SMS Code“ war zwar auch sehr effektiv - und Es ist absolut besser, als überhaupt kein MFA zu haben - Eine App ist noch besser. Wir empfehlen Authy , da es kostenlos, benutzerfreundlich und leistungsstark ist.
VERBUNDEN: SMS Two-Factor Auth ist nicht perfekt, aber Sie sollten es trotzdem verwenden
So aktivieren Sie 2FA für alle Ihre Konten
Sie können 2FA oder einen anderen MFA-Typ für die meisten Online-Konten aktivieren. Sie finden die Einstellung an verschiedenen Orten für verschiedene Konten. Im Allgemeinen befindet es sich jedoch im Einstellungsmenü des Kontos unter "Konto" oder "Sicherheit".
Glücklicherweise haben wir Anleitungen, die beschreiben, wie Sie MFA für einige der beliebtesten Websites und Apps aktivieren:
- Amazon
- Apple ID
- Google / Google Mail
- Microsoft
- Nest
- Nintendo
- Ring
- Locker
- Dampf
MFA ist der effektivste Weg, um Ihre Online-Konten zu sichern. Wenn Sie es noch nicht getan haben, nehmen Sie sich Zeit, um es so schnell wie möglich einzuschalten - insbesondere bei kritischen Konten wie E-Mail und Banking.
