Uwierzytelnianie dwuskładnikowe (2FA) to najskuteczniejsza metoda zapobiegania nieautoryzowanemu dostępowi do konta internetowego. Nadal potrzebujesz przekonania? Spójrz na te oszałamiające liczby od firmy Microsoft.
Twarde liczby
W lutym 2020 Microsoft podał prezentacja na Konferencja RSA zatytułowany „Breaking Password Dependencies: Challenges in the Final Mile at Microsoft”. Cała prezentacja była fascynująca, jeśli interesuje Cię, jak zabezpieczyć konta użytkowników. Nawet jeśli ta myśl otępia twój umysł, przedstawione statystyki i liczby były niesamowite.
Microsoft śledzi ponad 1 miliard aktywnych kont miesięcznie prawie 1/8 światowej populacji . Generują one ponad 30 miliardów zdarzeń logowania miesięcznie. Każde logowanie do firmowego konta O365 może generować wiele wpisów logowania w wielu aplikacjach, a także dodatkowe zdarzenia dla innych aplikacji, które używają O365 do logowania jednokrotnego.
Jeśli ta liczba brzmi dużo, pamiętaj o tym Firma Microsoft każdego dnia zatrzymuje 300 milionów fałszywych prób logowania . Ponownie, to nie jest rok czy miesiąc, ale 300 milionów na dzień .
W styczniu 2020 r. 480 000 kont Microsoft - 0,048% wszystkich kont Microsoft - zostało przejętych przez ataki rozpylające. Dzieje się tak, gdy atakujący uruchamia wspólne hasło (np. „Spring2020!”) Na listach tysięcy kont, w nadziei, że niektóre z nich użyją tego wspólnego hasła.
Spraye to tylko jedna z form ataku; setki i tysiące innych było spowodowanych wypychaniem poświadczeń. Aby je utrwalić, atakujący kupuje nazwy użytkownika i hasła w ciemnej sieci i wypróbowuje je w innych systemach.
Następnie jest wyłudzanie informacji , czyli sytuacja, w której osoba atakująca przekonuje Cię do zalogowania się na fałszywej stronie internetowej w celu uzyskania hasła. Te metody są jak zwykle „hakuje się” konta internetowe, w potocznym języku.
W sumie w styczniu włamano się do ponad 1 miliona kont Microsoft. To nieco ponad 32 000 zagrożonych kont dziennie, co brzmi źle, dopóki nie przypomnisz sobie, że każdego dnia zatrzymywano 300 milionów fałszywych prób logowania.
Ale najważniejsza jest liczba ze wszystkich 99,9 procent wszystkich naruszeń kont Microsoft zostałoby zatrzymanych jeśli konta miały włączone uwierzytelnianie dwuskładnikowe.
ZWIĄZANE Z: Co należy zrobić, jeśli otrzymasz wiadomość e-mail z phishingiem?
Co to jest uwierzytelnianie dwuskładnikowe?
Jako szybkie przypomnienie, uwierzytelnianie dwuskładnikowe (2FA) wymaga dodatkowej metody uwierzytelniania konta, a nie tylko nazwy użytkownika i hasła. Ta dodatkowa metoda to często sześciocyfrowy kod wysłane na Twój telefon SMS-em lub wygenerowane przez aplikację. Następnie wpisujesz ten sześciocyfrowy kod w ramach procedury logowania na swoje konto.
Uwierzytelnianie dwuskładnikowe to rodzaj uwierzytelniania wieloskładnikowego (MFA). Istnieją również inne metody MFA, w tym fizyczne tokeny USB podłączane do urządzenia lub biometryczne skanowanie odcisków palców lub oczu. Jednak kod wysyłany na Twój telefon jest zdecydowanie najpopularniejszy.
Jednak uwierzytelnianie wieloskładnikowe jest terminem szerokim - na przykład bardzo bezpieczne konto może wymagać trzech czynników zamiast dwóch.
ZWIĄZANE Z: Co to jest uwierzytelnianie dwuskładnikowe i dlaczego go potrzebuję?
Czy 2FA powstrzymałby naruszenia?
W przypadku ataków typu „spray” i wypychania danych uwierzytelniających osoby atakujące mają już hasło - muszą tylko znaleźć konta, które go używają. W przypadku phishingu osoby atakujące mają zarówno Twoje hasło, jak i nazwę konta, co jest jeszcze gorsze.
Gdyby konta Microsoft, które zostały naruszone w styczniu, miały włączone uwierzytelnianie wieloskładnikowe, samo hasło nie wystarczyłoby. Haker potrzebowałby również dostępu do telefonów swoich ofiar, aby uzyskać kod MFA, zanim będzie mógł zalogować się na te konta. Bez telefonu osoba atakująca nie byłaby w stanie uzyskać dostępu do tych kont i nie zostałaby naruszona.
Jeśli uważasz, że Twoje hasło jest niemożliwe do odgadnięcia i nigdy nie dałbyś się nabrać na atak phishingowy, przejdźmy do faktów. Według Alexa Weinarta, głównego architekta w firmie Microsoft, Twoje hasło tak właściwie nie ma większego znaczenia jeśli chodzi o zabezpieczenie konta.
Dotyczy to nie tylko kont Microsoft - każde konto internetowe jest równie podatne na ataki, jeśli nie korzysta z usługi MFA. Według Google MSZ zatrzymał się w 100 procentach automatycznych ataków botów (ataki rozpylające, wypychanie danych uwierzytelniających i podobne metody automatyczne).
Jeśli spojrzysz na lewy dolny róg wykresu badawczego Google, metoda „klucza bezpieczeństwa” była w 100% skuteczna w powstrzymywaniu automatycznych botów, phishingu i ataków ukierunkowanych.
Jaka jest więc metoda „klucza bezpieczeństwa”? Używa aplikacji na telefonie do generowania kodu MFA.
Chociaż metoda „SMS Code” była również bardzo skuteczna - i to absolutnie lepsze niż całkowity brak MFA - aplikacja jest jeszcze lepsza. Polecamy Authy , ponieważ jest bezpłatny, łatwy w użyciu i potężny.
ZWIĄZANE Z: Dwuetapowe uwierzytelnianie SMS-em nie jest idealne, ale nadal powinieneś z niego korzystać
Jak włączyć 2FA dla wszystkich swoich kont
W przypadku większości kont online możesz włączyć 2FA lub inny typ MFA. Znajdziesz to ustawienie w różnych lokalizacjach dla różnych kont. Zwykle jest jednak w menu ustawień konta w sekcji „Konto” lub „Bezpieczeństwo”.
Na szczęście mamy przewodniki opisujące, jak włączyć MFA w niektórych najpopularniejszych witrynach i aplikacjach:
- Amazonka
- Apple ID
- Google / Gmail
- Microsoft
- Gniazdo
- Nintendo
- Pierścień
- Luźny
- Parowy
- Świergot
MFA to najskuteczniejszy sposób zabezpieczenia kont internetowych. Jeśli jeszcze tego nie zrobiłeś, poświęć trochę czasu, aby włączyć go jak najszybciej - szczególnie w przypadku krytycznych kont, takich jak poczta e-mail i bankowość.
