การรับรองความถูกต้องด้วยสองปัจจัย (2FA) เป็นวิธีการเดียวที่มีประสิทธิภาพที่สุดในการป้องกันการเข้าถึงบัญชีออนไลน์โดยไม่ได้รับอนุญาต ยังต้องการความน่าเชื่อ? ลองดูตัวเลขเหล่านี้จาก Microsoft
ตัวเลขยาก
ในเดือนกุมภาพันธ์ 2020 Microsoft ให้ การนำเสนอ ที่ การประชุม RSA ที่มีชื่อว่า“ Breaking Password Dependencies: Challenges in the Final Mile at Microsoft” การนำเสนอทั้งหมดนั้นน่าสนใจหากคุณสนใจวิธีรักษาความปลอดภัยของบัญชีผู้ใช้ แม้ว่าความคิดนั้นจะทำให้คุณมึนงง แต่สถิติและตัวเลขที่นำเสนอนั้นน่าทึ่งมาก
Microsoft ติดตามบัญชีที่ใช้งานอยู่มากกว่า 1 พันล้านบัญชีต่อเดือนซึ่งก็คือ เกือบ 1/8 ของประชากรโลก . สิ่งเหล่านี้สร้างเหตุการณ์การเข้าสู่ระบบมากกว่า 30,000 ล้านครั้งต่อเดือน ทุกการเข้าสู่ระบบบัญชี O365 ขององค์กรสามารถสร้างรายการการเข้าสู่ระบบได้หลายรายการในหลาย ๆ แอปตลอดจนเหตุการณ์เพิ่มเติมสำหรับแอปอื่น ๆ ที่ใช้ O365 สำหรับการลงชื่อเพียงครั้งเดียว
หากตัวเลขนั้นฟังดูใหญ่โตโปรดจำไว้ว่า Microsoft หยุดการพยายามลงชื่อเข้าใช้ที่หลอกลวง 300 ล้านครั้งทุกวัน . อีกครั้งนั่นไม่ใช่ต่อปีหรือต่อเดือน แต่เป็น 300 ล้าน ต่อวัน .
ในเดือนมกราคม 2020 บัญชี Microsoft 480,000 บัญชีซึ่งคิดเป็น 0.048 เปอร์เซ็นต์ของบัญชี Microsoft ทั้งหมดถูกบุกรุกจากการโจมตี นี่คือเวลาที่ผู้โจมตีเรียกใช้รหัสผ่านทั่วไป (เช่น“ Spring2020!”) กับรายการบัญชีหลายพันบัญชีโดยหวังว่าบางส่วนจะใช้รหัสผ่านทั่วไปนั้น
สเปรย์เป็นเพียงรูปแบบหนึ่งของการโจมตี อีกหลายร้อยหลายพันรายเกิดจากการบรรจุข้อมูลรับรอง ผู้โจมตีจะซื้อชื่อผู้ใช้และรหัสผ่านบนเว็บมืดและทดลองใช้ในระบบอื่น
จากนั้นก็มี ฟิชชิ่ง ซึ่งเป็นช่วงที่ผู้โจมตีชักจูงให้คุณเข้าสู่ระบบเว็บไซต์ปลอมเพื่อรับรหัสผ่านของคุณ วิธีการเหล่านี้คือ โดยทั่วไปแล้วบัญชีออนไลน์ถูก "แฮ็ก" อย่างไร ในสำนวนทั่วไป
โดยรวมแล้วบัญชี Microsoft มากกว่า 1 ล้านบัญชีถูกละเมิดในเดือนมกราคม นั่นเป็นบัญชีที่ถูกบุกรุกมากกว่า 32,000 บัญชีต่อวันซึ่งฟังดูไม่ดีจนกว่าคุณจะจำได้ว่ามีการพยายามเข้าสู่ระบบที่หลอกลวง 300 ล้านครั้งต่อวัน
แต่ตัวเลขที่สำคัญที่สุดคือ 99.9 เปอร์เซ็นต์ของการละเมิดบัญชี Microsoft ทั้งหมดจะหยุดลง หากบัญชีมีการเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย
ที่เกี่ยวข้อง: คุณควรทำอย่างไรหากได้รับอีเมลฟิชชิ่ง
การรับรองความถูกต้องด้วยสองปัจจัยคืออะไร?
เพื่อเป็นการแจ้งเตือนอย่างรวดเร็ว การรับรองความถูกต้องด้วยสองปัจจัย (2FA) ต้องการวิธีการเพิ่มเติมในการตรวจสอบบัญชีของคุณมากกว่าแค่ชื่อผู้ใช้และรหัสผ่าน วิธีการเพิ่มเติมนั้นมักจะเป็นรหัสหกหลัก ส่งไปยังโทรศัพท์ของคุณทาง SMS หรือสร้างโดยแอป จากนั้นคุณพิมพ์รหัสหกหลักนั้นเป็นส่วนหนึ่งของขั้นตอนการเข้าสู่ระบบสำหรับบัญชีของคุณ
การพิสูจน์ตัวตนแบบสองปัจจัยคือการตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) มีวิธี MFA อื่น ๆ เช่นกันรวมถึงโทเค็น USB ทางกายภาพที่คุณเสียบเข้ากับอุปกรณ์ของคุณหรือการสแกนลายนิ้วมือหรือดวงตาของคุณแบบไบโอเมตริกซ์ อย่างไรก็ตามรหัสที่ส่งไปยังโทรศัพท์ของคุณเป็นรหัสที่พบบ่อยที่สุด
อย่างไรก็ตามการพิสูจน์ตัวตนแบบหลายปัจจัยเป็นคำที่กว้าง - บัญชีที่ปลอดภัยมากอาจต้องใช้ปัจจัยสามอย่างแทนที่จะเป็นสอง
ที่เกี่ยวข้อง: การรับรองความถูกต้องด้วยสองปัจจัยคืออะไรและเหตุใดฉันจึงต้องการ
2FA จะหยุดการละเมิดได้หรือไม่?
ในการโจมตีแบบสเปรย์และการใส่ข้อมูลรับรองผู้โจมตีมีรหัสผ่านอยู่แล้วเพียงแค่ค้นหาบัญชีที่ใช้ ด้วยฟิชชิงผู้โจมตีมีทั้งรหัสผ่านและชื่อบัญชีของคุณซึ่งแย่กว่านั้น
หากบัญชี Microsoft ที่ถูกละเมิดในเดือนมกราคมมีการเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยเพียงแค่มีรหัสผ่านคงไม่เพียงพอ แฮ็กเกอร์ยังต้องการเข้าถึงโทรศัพท์ของเหยื่อเพื่อรับรหัส MFA ก่อนที่เขาจะสามารถเข้าสู่ระบบบัญชีเหล่านั้นได้ หากไม่มีโทรศัพท์ผู้โจมตีจะไม่สามารถเข้าถึงบัญชีเหล่านั้นได้และจะไม่ถูกละเมิด
หากคุณคิดว่ารหัสผ่านของคุณเป็นไปไม่ได้ที่จะคาดเดาและคุณไม่เคยตกเป็นเหยื่อของการโจมตีแบบฟิชชิงมาลองเจาะลึกข้อเท็จจริงกัน ตามที่ Alex Weinart สถาปนิกหลักของ Microsoft กล่าวว่า รหัสผ่านของคุณ จริง ไม่สำคัญขนาดนั้น ในเรื่องการรักษาความปลอดภัยให้กับบัญชีของคุณ
สิ่งนี้ไม่ได้ใช้กับบัญชี Microsoft เท่านั้นบัญชีออนไลน์ทุกบัญชีมีความเสี่ยงเช่นกันหากไม่ใช้ MFA อ้างอิงจาก Google MFA หยุด 100 เปอร์เซ็นต์แล้ว ของการโจมตีบ็อตอัตโนมัติ (การโจมตีแบบสเปรย์การบรรจุข้อมูลรับรองและวิธีการอัตโนมัติที่คล้ายกัน)
หากคุณดูที่ด้านล่างซ้ายของแผนภูมิการวิจัยของ Google วิธี "คีย์ความปลอดภัย" มีประสิทธิภาพ 100 เปอร์เซ็นต์ในการหยุดบอทอัตโนมัติฟิชชิงและการโจมตีแบบกำหนดเป้าหมาย
วิธีการ "คีย์ความปลอดภัย" คืออะไร ใช้แอปบนโทรศัพท์ของคุณเพื่อสร้างรหัส MFA
ในขณะที่วิธี“ รหัส SMS” ก็มีประสิทธิภาพมากเช่นกันและ มันดีกว่าการไม่มี MFA เลย - แอพดีกว่า เราแนะนำ Authy ฟรีใช้งานง่ายและมีประสิทธิภาพ
ที่เกี่ยวข้อง: การตรวจสอบสิทธิ์สองปัจจัยทาง SMS ไม่สมบูรณ์แบบ แต่คุณควรใช้มัน
วิธีเปิดใช้งาน 2FA สำหรับบัญชีของคุณทั้งหมด
คุณสามารถเปิดใช้งาน 2FA หรือ MFA ประเภทอื่นสำหรับบัญชีออนไลน์ส่วนใหญ่ คุณจะพบการตั้งค่าในสถานที่ต่างๆสำหรับบัญชีต่างๆ โดยทั่วไปแล้วจะอยู่ในเมนูการตั้งค่าของบัญชีภายใต้“ บัญชี” หรือ“ ความปลอดภัย”
โชคดีที่เรามีคำแนะนำที่ครอบคลุมถึงวิธีการเปิด MFA สำหรับเว็บไซต์และแอปยอดนิยมบางส่วน:
- Amazon
- Apple ID
- เฟสบุ๊ค
- Google / Gmail
- อินสตาแกรม
- ไมโครซอฟต์
- รัง
- นินเทนโด
- แหวน
- หย่อน
- อบไอน้ำ
- ทวิตเตอร์
MFA เป็นวิธีที่มีประสิทธิภาพที่สุดในการรักษาความปลอดภัยบัญชีออนไลน์ของคุณ หากคุณยังไม่ได้ดำเนินการให้ใช้เวลาในการเปิดใช้งานโดยเร็วที่สุดโดยเฉพาะอย่างยิ่งสำหรับบัญชีที่สำคัญเช่นอีเมลและธนาคาร
