To-faktor autentisering (2FA) er den mest effektive metoden for å forhindre uautorisert tilgang til en online konto. Trenger du fortsatt å overbevise? Ta en titt på disse kjiptallene fra Microsoft.
De harde tallene
I februar 2020 ga Microsoft en presentasjon på RSA-konferanse med tittelen "Breaking Password Dependencies: Challenges in the Final Mile at Microsoft." Hele presentasjonen var fascinerende hvis du er interessert i hvordan du kan sikre brukerkontoer. Selv om den tanken bedøver tankene dine, var statistikken og tallene som ble presentert fantastiske.
Microsoft sporer over 1 milliard aktive kontoer månedlig, altså nesten 1/8 av verdens befolkning . Disse genererer mer enn 30 milliarder månedlige påloggingshendelser. Hver pålogging til en bedrifts O365-konto kan generere flere påloggingsoppføringer på tvers av flere apper, samt tilleggshendelser for andre apper som bruker O365 for enkel pålogging.
Hvis dette tallet høres stort ut, må du huske det Microsoft stopper 300 millioner falske påloggingsforsøk hver dag . Igjen, det er ikke per år eller per måned, men 300 millioner per dag .
I januar 2020 ble 480 000 Microsoft-kontoer — 0,048 prosent av alle Microsoft-kontoer — kompromittert av sprøyteangrep. Dette er når en angriper kjører et vanlig passord (som "Spring2020!") Mot lister over tusenvis av kontoer, i håp om at noen av disse vil ha brukt det vanlige passordet.
Sprayer er bare en form for angrep; hundrevis og tusen flere ble forårsaket av legitimasjon. For å opprettholde disse kjøper angriperen brukernavn og passord på det mørke nettet og prøver dem på andre systemer.
Så er det phishing , som er når en angriper overbeviser deg om å logge på et falskt nettsted for å få passordet ditt. Disse metodene er hvordan nettkontoer vanligvis "hackes", i vanlig språkbruk.
I alt ble over 1 million Microsoft-kontoer brutt i januar. Det er litt over 32 000 kompromitterte kontoer per dag, noe som høres dårlig ut til du husker de 300 millioner falske påloggingsforsøkene stoppet per dag.
Men det viktigste av alt er at 99,9 prosent av alle brudd på Microsoft-kontoen ville blitt stoppet hvis tofaktorautentisering var aktivert på kontoene.
I SLEKT: Hva bør du gjøre hvis du mottar en phishing-e-post?
Hva er tofaktorautentisering?
Som en rask påminnelse, tofaktorautentisering (2FA) krever en ekstra metode for å autentisere kontoen din i stedet for bare et brukernavn og passord. Denne tilleggsmetoden er ofte en sekssifret kode sendt til telefonen din via SMS eller generert av en app. Deretter skriver du den sekssifrede koden som en del av innloggingsprosedyren for kontoen din.
Tofaktorautentisering er en type multifaktorautentisering (MFA). Det er også andre MFA-metoder, inkludert fysiske USB-tokens du kobler til enheten din, eller biometriske skanninger av fingeravtrykk eller øye. En kode som sendes til telefonen din er imidlertid den vanligste.
Multifaktorautentisering er imidlertid et bredt begrep - en veldig sikker konto kan for eksempel kreve tre faktorer i stedet for to.
I SLEKT: Hva er tofaktorautentisering, og hvorfor trenger jeg det?
Ville 2FA ha stoppet bruddene?
I sprayangrep og påloggingsstopp har angriperne allerede et passord - de trenger bare å finne kontoer som bruker det. Med phishing har angriperne både passordet ditt og kontonavnet ditt, noe som er enda verre.
Hvis Microsoft-kontoene som ble brutt i januar hadde hatt multifaktorautentisering aktivert, ville det bare ikke ha vært nok å ha passordet. Hackeren ville også ha trengt tilgang til telefonene til ofrene for å få MFA-koden før han kunne logge på disse kontoene. Uten telefonen hadde angriperen ikke hatt tilgang til disse kontoene, og de ville ikke blitt brutt.
Hvis du tror passordet ditt er umulig å gjette, og du aldri vil falle for et phishing-angrep, la oss dykke ned i fakta. Ifølge Alex Weinart, en hovedarkitekt hos Microsoft, ditt passord faktisk spiller ingen rolle så mye når det gjelder å sikre kontoen din.
Dette gjelder ikke bare for Microsoft-kontoer - hver online-konto er like sårbar hvis den ikke bruker MFA. I følge Google, UD har stoppet 100 prosent av automatiserte botangrep (sprayangrep, legitimasjonsfylling og lignende automatiserte metoder).
Hvis du ser nederst til venstre i Googles forskningskart, var "Security Key" -metoden 100 prosent effektiv for å stoppe automatiserte bot-, phishing- og målrettede angrep.
Så, hva er "sikkerhetsnøkkel" -metoden? Den bruker en app på telefonen din for å generere en MFA-kode.
Mens “SMS Code” -metoden også var veldig effektiv — og det er absolutt bedre enn ikke å ha MFA i det hele tatt —En app er enda bedre. Vi anbefaler Authy , ettersom den er gratis, enkel å bruke og kraftig.
I SLEKT: SMS Two-Factor Auth er ikke perfekt, men du bør fortsatt bruke den
Slik aktiverer du 2FA for alle kontoene dine
Du kan aktivere 2FA eller en annen type MFA for de fleste online-kontoer. Du finner innstillingen på forskjellige steder for forskjellige kontoer. Vanligvis er det imidlertid i kontoens innstillingsmeny under "Konto" eller "Sikkerhet."
Heldigvis har vi guider som dekker hvordan du slår på MFA for noen av de mest populære nettstedene og appene:
- Amazon
- eple ID
- Google/Gmail
- Microsoft
- Nest
- Nintendo
- Ringe
- Slakk
- Damp
MFA er den mest effektive måten å sikre online-kontoene dine. Hvis du ikke har gjort det ennå, må du ta deg tid til å slå den på så snart som mulig - spesielt for kritiske kontoer, som e-post og bank.
