Tvåfaktorautentisering (2FA) är den mest effektiva metoden för att förhindra obehörig åtkomst till ett onlinekonto. Behöver du fortfarande övertyga? Ta en titt på dessa käftande siffror från Microsoft.
De hårda siffrorna
I februari 2020 gav Microsoft en presentation vid RSA-konferens med titeln "Breaking Password Dependencies: Challenges in the Final Mile at Microsoft." Hela presentationen var fascinerande om du är intresserad av hur du skyddar användarkonton. Även om den tanken bedövar ditt sinne, var statistiken och siffrorna som presenterades fantastiska.
Microsoft spårar över 1 miljard aktiva konton varje månad, vilket är nästan 1/8 av världens befolkning . Dessa genererar mer än 30 miljarder inloggningshändelser varje månad. Varje inloggning på ett O365-konto kan generera flera inloggningsposter över flera appar, samt ytterligare händelser för andra appar som använder O365 för enkel inloggning.
Om det numret låter stort, kom ihåg det Microsoft stoppar 300 miljoner bedrägliga inloggningsförsök varje dag . Återigen, det är inte per år eller per månad utan 300 miljoner per dag .
I januari 2020 kom 480 000 Microsoft-konton - 0,048 procent av alla Microsoft-konton - i fara genom sprutattacker. Det är när en angripare kör ett vanligt lösenord (som "Spring2020!") Mot listor med tusentals konton, i hopp om att några av dem kommer att ha använt det vanliga lösenordet.
Sprayer är bara en form av attack; hundratals och tusentals fler orsakades av fyllningsuppgifter. För att upprätthålla dessa köper angriparen användarnamn och lösenord på det mörka nätet och försöker dem på andra system.
Sedan finns det nätfiske , vilket är när en angripare övertygar dig om att logga in på en falsk webbplats för att få ditt lösenord. Dessa metoder är hur online-konton vanligtvis "hackas" i vanligt språk.
Sammantaget överträffades över 1 miljon Microsoft-konton i januari. Det är drygt 32 000 komprometterade konton per dag, vilket låter dåligt tills du kommer ihåg de 300 miljoner bedrägliga inloggningsförsöken stoppade per dag.
Men det viktigaste av allt är det 99,9 procent av alla Microsoft-kontointrång skulle ha stoppats om kontona hade tvåfaktorsautentisering aktiverad.
RELATERAD: Vad ska du göra om du får ett phishing-e-postmeddelande?
Vad är tvåfaktorautentisering?
Som en snabb påminnelse, tvåfaktorautentisering (2FA) kräver en ytterligare metod för att autentisera ditt konto snarare än bara ett användarnamn och lösenord. Den extra metoden är ofta en sexsiffrig kod skickas till din telefon via SMS eller genereras av en app. Du skriver sedan den sexsiffriga koden som en del av inloggningsproceduren för ditt konto.
Tvåfaktorautentisering är en typ av multifaktorautentisering (MFA). Det finns också andra MFA-metoder, inklusive fysiska USB-tokens du ansluter till din enhet eller biometriska skanningar av ditt fingeravtryck eller öga. En kod som skickas till din telefon är dock den vanligaste.
Multifaktorautentisering är dock en vid term - ett mycket säkert konto kan till exempel kräva tre faktorer istället för två.
RELATERAD: Vad är tvåfaktorautentisering och varför behöver jag det?
Skulle 2FA ha stoppat överträdelserna?
I sprayattacker och autentiseringsfyllning har angriparna redan ett lösenord - de behöver bara hitta konton som använder det. Med phishing har angriparna både ditt lösenord och ditt kontonamn, vilket är ännu värre.
Om Microsoft-konton som bröts i januari hade multifaktorautentisering aktiverats, hade bara lösenordet inte varit tillräckligt. Hackaren skulle också ha behövt tillgång till sina offrets telefoner för att få MFA-koden innan han kunde logga in på dessa konton. Utan telefonen hade angriparen inte kunnat komma åt dessa konton, och de skulle inte ha brutits.
Om du tror att ditt lösenord är omöjligt att gissa och du aldrig skulle falla för en phishing-attack, låt oss dyka in i fakta. Enligt Alex Weinart, en huvudarkitekt på Microsoft, ditt lösenord faktiskt spelar ingen roll så mycket när det gäller att säkra ditt konto.
Detta gäller inte bara för Microsoft-konton - varje onlinekonto är lika sårbart om det inte använder MFA. Enligt Google, MFA har stoppat 100 procent av automatiserade botattacker (sprayattacker, referensfyllning och liknande automatiserade metoder).
Om du tittar längst ner till vänster i Googles forskningsdiagram var metoden "Säkerhetsnyckel" 100 procent effektiv för att stoppa automatiserade bot-, phishing- och riktade attacker.
Så, vad är "säkerhetsnyckel" -metoden? Den använder en app på din telefon för att generera en MFA-kod.
Även om "SMS-kod" -metoden också var mycket effektiv - och det är absolut bättre än att inte ha MFA alls —En app är ännu bättre. Vi rekommenderar Authy , eftersom det är gratis, lätt att använda och kraftfullt.
RELATERAD: SMS Two-Factor Auth är inte perfekt, men du bör fortfarande använda den
Så här aktiverar du 2FA för alla dina konton
Du kan aktivera 2FA eller annan typ av MFA för de flesta onlinekonton. Du hittar inställningen på olika platser för olika konton. I allmänhet finns det dock i kontoens inställningsmeny under "Konto" eller "Säkerhet".
Lyckligtvis har vi guider som beskriver hur du aktiverar MFA för några av de mest populära webbplatserna och apparna:
- Amazon
- Apple-ID
- Google/Gmail
- Microsoft
- Bo
- Nintendo
- Ring
- Slak
- Ånga
MFA är det mest effektiva sättet att säkra dina onlinekonton. Om du inte har gjort det än, ta dig tid att sätta på det så snart som möjligt - särskilt för viktiga konton, som e-post och bank.
