二要素認証(2FA)は、オンラインアカウントへの不正アクセスを防ぐための最も効果的な唯一の方法です。まだ説得力が必要ですか?マイクロソフトからのこれらの驚異的な数字を見てください。
ハードナンバー
2020年2月、マイクロソフトは プレゼンテーション で RSAカンファレンス 「パスワードの依存関係を破る:マイクロソフトのファイナルマイルでの課題」と題されています。ユーザーアカウントを保護する方法に興味がある場合は、プレゼンテーション全体が魅力的でした。その考えがあなたの心を麻痺させたとしても、提示された統計と数字は驚くべきものでした。
マイクロソフトは毎月10億を超えるアクティブなアカウントを追跡しています。 世界の人口のほぼ1/8 。これらは、毎月300億を超えるログインイベントを生成します。企業のO365アカウントにログインするたびに、複数のアプリにまたがる複数のログインエントリが生成され、シングルサインオンにO365を使用する他のアプリの追加のイベントが生成されます。
その数が大きいと思われる場合は、次の点に注意してください。 マイクロソフトは、毎日3億回の不正なサインインの試みを阻止しています 。繰り返しますが、それは1年または1か月ではなく、3億 1日あたり 。
2020年1月、48万のMicrosoftアカウント(すべてのMicrosoftアカウントの0.048パーセント)がスプレー攻撃によって侵害されました。これは、攻撃者が数千のアカウントのリストに対して共通のパスワード(「Spring2020!」など)を実行し、それらの一部がその共通のパスワードを使用することを期待する場合です。
スプレーは攻撃の一形態にすぎません。数百、数千以上が資格情報の詰め込みによって引き起こされました。これらを永続化するために、攻撃者はダークウェブでユーザー名とパスワードを購入し、他のシステムでそれらを試します。
次に、 フィッシング 、これは、攻撃者が偽のWebサイトにログインしてパスワードを取得するように説得したときです。これらの方法は オンラインアカウントが通常どのように「ハッキング」されるか 一般的な用語で。
1月には合計で100万を超えるMicrosoftアカウントが侵害されました。これは、1日あたり32,000を超える侵害されたアカウントであり、1日あたり3億回の不正なログイン試行が停止したことを思い出すまでは悪いことのように聞こえます。
しかし、すべての中で最も重要な数はそれです すべてのMicrosoftアカウント違反の99.9%は阻止されたはずです アカウントで2要素認証が有効になっている場合。
関連: フィッシングメールを受信した場合はどうすればよいですか?
二要素認証とは何ですか?
簡単なリマインダーとして、 二要素認証 (2FA)では、ユーザー名とパスワードだけでなく、アカウントを認証するための追加の方法が必要です。その追加の方法は、多くの場合6桁のコードです SMSで携帯電話に送信 またはアプリによって生成されます。次に、アカウントのログイン手順の一部として、その6桁のコードを入力します。
2要素認証は、多要素認証(MFA)の一種です。デバイスに接続する物理USBトークンや、指紋や目の生体認証スキャンなど、他のMFA方法もあります。ただし、携帯電話に送信されるコードがはるかに一般的です。
ただし、多要素認証は広義の用語です。たとえば、非常に安全なアカウントでは、2つではなく3つの要素が必要になる場合があります。
2FAは違反を阻止したでしょうか?
スプレー攻撃や資格情報の詰め込みでは、攻撃者はすでにパスワードを持っています。攻撃者はそれを使用するアカウントを見つける必要があります。フィッシングでは、攻撃者はあなたのパスワードとアカウント名の両方を持っていますが、これはさらに悪いことです。
1月に侵害されたMicrosoftアカウントで多要素認証が有効になっている場合、パスワードを持っているだけでは不十分でした。ハッカーは、被害者のアカウントにログインする前に、MFAコードを取得するために被害者の電話にアクセスする必要もありました。電話がなければ、攻撃者はそれらのアカウントにアクセスできず、侵害されることもありませんでした。
パスワードを推測することが不可能であり、フィッシング攻撃に陥ることがないと思われる場合は、事実を詳しく見ていきましょう。 Microsoftの主任アーキテクトであるAlexWeinartによると、 あなたのパスワード 実際に それほど重要ではありません アカウントの保護に関しては。
これはMicrosoftアカウントだけに当てはまるわけではありません。すべてのオンラインアカウントは、MFAを使用しない場合と同様に脆弱です。グーグルによると、 MFAは100%停止しました 自動化されたボット攻撃(スプレー攻撃、資格情報の詰め込み、および同様の自動化された方法)。
Googleの調査チャートの左下を見ると、「セキュリティキー」方式は、自動化されたボット、フィッシング、標的型攻撃を阻止するのに100%効果的でした。
では、「セキュリティキー」方式とは何ですか?スマートフォンのアプリを使用してMFAコードを生成します。
「SMSコード」方式も非常に効果的でしたが、 MFAをまったく持たないよりも絶対に良いです —アプリはさらに優れています。おすすめ Authy 、無料で使いやすく、強力です。
関連: SMSの2要素認証は完璧ではありませんが、それでも使用する必要があります
すべてのアカウントで2FAを有効にする方法
ほとんどのオンラインアカウントで2FAまたは別の種類のMFAを有効にできます。設定は、アカウントごとに異なる場所にあります。ただし、通常は、アカウントの設定メニューの[アカウント]または[セキュリティ]にあります。
幸い、最も人気のあるWebサイトやアプリのいくつかでMFAをオンにする方法を説明するガイドがあります。
- アマゾン
- Apple ID
- フェイスブック
- Google / Gmail
- インスタグラム
- マイクロソフト
- ネスト
- ニンテンド
- リング
- スラック
- 蒸気
- ツイッター
MFAは、オンラインアカウントを保護するための最も効果的な方法です。まだ行っていない場合は、特にメールや銀行などの重要なアカウントの場合は、できるだけ早くオンにしてください。
