2 단계 인증 (2FA)은 온라인 계정에 대한 무단 액세스를 방지하는 가장 효과적인 단일 방법입니다. 여전히 설득력이 필요하십니까? Microsoft의 놀라운 수치를 살펴보십시오.
어려운 숫자
2020 년 2 월 Microsoft는 프레젠테이션 ~에서 RSA 컨퍼런스 "비밀번호 종속성 깨기 : Microsoft의 마지막 단계에서의 도전"이라는 제목의 사용자 계정을 보호하는 방법에 관심이 있다면 전체 프레젠테이션이 흥미로 웠습니다. 그 생각이 당신의 마음을 마비 시키더라도 제시된 통계와 수치는 놀랍습니다.
Microsoft는 매달 10 억 개 이상의 활성 계정을 추적합니다. 세계 인구의 거의 1/8 . 이는 매달 300 억 개 이상의 로그인 이벤트를 생성합니다. 회사 O365 계정에 대한 모든 로그인은 여러 앱에서 여러 로그인 항목을 생성 할 수있을뿐만 아니라 싱글 사인온에 O365를 사용하는 다른 앱에 대한 추가 이벤트를 생성 할 수 있습니다.
그 숫자가 크게 들리면 Microsoft는 매일 3 억 번의 사기 로그인 시도를 중지합니다. . 다시 말하지만, 연간이나 월이 아니라 3 억 하루 .
2020 년 1 월, 480,000 개의 Microsoft 계정 (전체 Microsoft 계정의 0.048 %)이 확산 공격으로 인해 손상되었습니다. 이것은 공격자가 수천 개의 계정 목록에 대해 공통 암호 (예 : "Spring2020!")를 실행하여 이들 중 일부가 공통 암호를 사용하기를 바라는 경우입니다.
스프레이는 공격의 한 형태 일뿐입니다. 자격 증명 스터핑으로 인해 수백, 수천 개가 더 발생했습니다. 이를 영속시키기 위해 공격자는 다크 웹에서 사용자 이름과 암호를 구입하고 다른 시스템에서 시도합니다.
그런 다음 피싱 , 이는 공격자가 암호를 얻기 위해 가짜 웹 사이트에 로그인하도록 유도하는 경우입니다. 이 방법은 온라인 계정이 일반적으로 "해킹"되는 방식, 일반적인 말로.
전체적으로 1 백만 개가 넘는 Microsoft 계정이 1 월에 유출되었습니다. 이는 하루에 32,000 개가 넘는 계정이 도용 된 것입니다. 하루에 3 억 번의 사기 로그인 시도가 중단 된 것을 기억하기 전까지는 안 좋은 것 같습니다.
하지만 가장 중요한 것은 모든 Microsoft 계정 침해의 99.9 %가 중지되었을 것입니다. 계정에 이중 인증이 활성화 된 경우.
2 단계 인증이란 무엇입니까?
빠른 알림으로 2 단계 인증 (2FA)에는 사용자 이름과 비밀번호가 아닌 계정 인증을위한 추가 방법이 필요합니다. 추가 방법은 종종 6 자리 코드입니다. SMS로 휴대 전화로 전송 또는 앱에 의해 생성됩니다. 그런 다음 계정 로그인 절차의 일부로 6 자리 코드를 입력합니다.
2 단계 인증은 MFA (다단계 인증)의 한 유형입니다. 장치에 연결하는 물리적 USB 토큰이나 지문 또는 눈의 생체 인식 스캔을 포함하여 다른 MFA 방법도 있습니다. 그러나 휴대폰으로 전송되는 코드가 가장 일반적입니다.
그러나 다단계 인증은 광범위한 용어입니다. 예를 들어 매우 안전한 계정에는 2 개 대신 3 개 요인이 필요할 수 있습니다.
2FA가 위반을 막았 을까요?
스프레이 공격과 크리 덴셜 스터핑에서 공격자는 이미 암호를 가지고 있습니다. 암호를 사용하는 계정을 찾기 만하면됩니다. 피싱을 사용하면 공격자가 사용자의 암호와 계정 이름을 모두 갖게되며 이는 더욱 심각합니다.
1 월에 유출 된 Microsoft 계정에 다단계 인증이 활성화되어 있었다면 암호만으로는 충분하지 않았을 것입니다. 해커는 해당 계정에 로그인하기 전에 MFA 코드를 얻기 위해 피해자의 전화에 대한 액세스 권한도 필요했습니다. 전화가 없었다면 공격자는 해당 계정에 액세스 할 수 없었을 것이며 유출되지 않았을 것입니다.
비밀번호를 추측 할 수 없다고 생각하고 피싱 공격에 빠지지 않았다면 사실을 자세히 살펴 보겠습니다. Microsoft의 수석 아키텍트 인 Alex Weinart에 따르면 너의 비밀번호 사실은 그다지 중요하지 않다 계정 보안과 관련하여.
이는 Microsoft 계정에만 적용되는 것이 아닙니다. 모든 온라인 계정은 MFA를 사용하지 않는 경우와 마찬가지로 취약합니다. Google에 따르면 MFA가 100 % 중지되었습니다. 자동화 된 봇 공격 (스프레이 공격, 크리 덴셜 스터핑 및 유사한 자동화 된 방법).
Google의 연구 차트 왼쪽 하단을 보면 '보안 키'방법이 자동화 된 봇, 피싱 및 표적 공격을 차단하는 데 100 % 효과적이었습니다.
그렇다면 "보안 키"방법은 무엇입니까? 휴대 전화의 앱을 사용하여 MFA 코드를 생성합니다.
"SMS 코드"방법도 매우 효과적 이었지만 MFA가없는 것보다 절대적으로 낫습니다. — 앱이 더 좋습니다. 우리는 추천합니다 Authy , 무료이며 사용하기 쉽고 강력합니다.
관련 : SMS Two-Factor Auth는 완벽하지는 않지만 여전히 사용해야합니다.
모든 계정에 대해 2FA를 활성화하는 방법
대부분의 온라인 계정에 대해 2FA 또는 다른 유형의 MFA를 활성화 할 수 있습니다. 계정마다 다른 위치에서 설정을 찾을 수 있습니다. 하지만 일반적으로 '계정'또는 '보안'아래의 계정 설정 메뉴에 있습니다.
다행히도 가장 인기있는 일부 웹 사이트 및 앱에 대해 MFA를 설정하는 방법을 다루는 가이드가 있습니다.
- 아마존
- Apple ID
- 페이스 북
- Google / Gmail
- 인스 타 그램
- 마이크로 소프트
- 둥지
- 닌텐도
- 레딧
- 반지
- 느슨하게
- 증기
- 트위터
MFA는 온라인 계정을 보호하는 가장 효과적인 방법입니다. 아직 사용하지 않았다면 가능한 한 빨리 사용하도록 설정하세요. 특히 이메일 및 은행 업무와 같은 중요한 계정의 경우 더욱 그렇습니다.
