Microsoft:使用多重身份验证可阻止99.9%的帐户黑客攻击
作者:ZDNet 发布时间:2019-08-27

微软表示,为其帐户启用多重身份验证(MFA)的用户最终将阻止99.9%的自动攻击。该建议不仅适用于Microsoft帐户,还适用于任何其他网站或在线服务上的任何其他个人资料。

如果服务提供商支持多因素身份验证,Microsoft建议使用它,无论它是否像基于SMS的一次性密码或高级生物识别解决方案一样简单。

“根据我们的研究,如果您使用MFA,您的帐户被泄露的可能性将降低99.9%以上,” 微软身份安全和保护部门项目经理Alex Weinert说。

密码不再重要

Weinert说,像“永远不会使用曾经见过的密码”或“使用真正长密码”这样的旧建议并没有真正帮助。

他应该知道。Weinert是微软工程师之一,他曾在2016年禁止使用密码,这些密码成为微软帐户和Azure AD系统公开漏洞列表的一部分。由于他的工作,使用或试图使用在以前的数据泄露中泄露的密码的Microsoft用户被告知要更改他们的凭据。

但Weinert表示,尽管阻止了泄露的凭据或简单的密码,黑客仍然会在接下来的几年中妥协微软账户。

他将此归因于密码或其复杂性不再重要的事实。如今,黑客可以使用不同的方法来获取用户的凭据,在大多数情况下,密码并不重要。

攻击

也称为。。。

频率      

难度:机制

用户协助攻击者。。。

你的密码重要吗?

凭证填充

违反重播,列出清洁

非常高 - 在MSFT ID系统中每天探测20 + M个帐户

非常简单:购买从违规站点收集的信息,其中包含休息策略中的错误数据,测试其他系统上的匹配项。列表清洁工具随时可用。

作为人类。密码很难想象。62%的用户承认重用。

不 - 攻击者有确切的密码。

网络钓鱼

中间人,凭证拦截

很高。所有入站邮件的0.5%。

简单:发送承诺娱乐或威胁的电子邮件,并将用户链接到doppelganger网站以进行登录。夺取信誉。使用Modlishka或类似的工具使这很容易。

作为人类。人们好奇或担心,忽视警告标志。

否 - 用户向攻击者提供密码

按键记录

恶意软件,嗅探

低。

中:恶意软件记录并传输输入的用户名和密码,但通常也是其他所有内容,因此攻击者必须解析内容。

单击以管理员身份运行的链接,而不是扫描恶意软件。

没有 - 恶意软件截获确切的输入内容。

本地发现

垃圾箱潜水,物理侦察,网络扫描。

低。

困难:搜索用户的办公室或日志以获取书面密码。扫描网络以获取开放份额。扫描代码或维护脚本中的信用。

写密码(由复杂性或缺乏SSO驱动); 使用密码为非参加帐户

不 - 确切的密码被发现。

勒索

勒索,内幕威胁

非常低。虽然电影很酷。

困难:如果没有提供证书,则威胁伤害或使人员帐户持有人难堪。

作为人类。

没有 - 确切的密码透露

密码喷雾

猜测,锤击,低速和慢速

非常高 - 至少占攻击的16%。有时每天有成千上万的人被打破。每天有数百万人被探查。

琐碎:使用容易获取的用户列表,在大量用户名上尝试使用相同的密码。调节速度并分布在许多IP上以避免检测。工具容易且廉价地可用。见下文。

作为人类。

使用常见的密码,如qwerty123或Summer2018!

不,除非它是少数攻击者正在尝试的顶级密码。

蛮力

数据库提取,破解

非常低。

变化:渗透网络以提取文件。如果目标组织被弱防御(例如,仅密码管理员帐户),则可能很容易,如果适当的数据库防御(包括物理和操作安全性)到位,则会更加困难。对密码执行哈希破解。难度因使用的加密而异。见下文。

没有。

不,除非您使用的是无法使用的密码(因此,使用密码管理器)或非常有创意的密码短语。见下文。

拥有300多万诈骗登录尝试每天针对微软的云服务,韦纳特说,启用多因素认证解决方案,阻止这些未经授权的登录尝试的99.9%,即使有黑客在用户的当前密码的副本。

0.1%的数字代表了使用技术解决方案捕获MFA令牌的更复杂的攻击,但与证书填充僵尸网络的每日嗡嗡声相比,这些攻击仍然非常罕见。

谷歌在5月也说了同样的话

微软吹嘘使用MFA阻止99.9%的自动帐户接管(ATO)攻击并不是第一次。

早在5月份,谷歌表示,向其帐户添加恢复电话号码(以及间接启用基于SMS的MFA)的用户也在提高帐户安全性。

“我们的研究显示,只需在您的Google帐户中添加恢复电话号码,就可以阻止100%的自动机器人,99%的批量网络钓鱼攻击,以及66%的针对我们调查期间发生的针对性攻击,” Google当时表示。

当谷歌和微软都推荐相同的东西时,可能是开始遵循他们的建议的好时机。