Двофакторна аутентифікація (2FA) є єдиним найефективнішим методом запобігання несанкціонованому доступу до облікового запису в Інтернеті. Все ще потрібно переконати? Подивіться на ці вражаючі цифри від Microsoft.
Тверді цифри
У лютому 2020 року Microsoft дала презентація біля Конференція ОДА під назвою «Порушення залежності паролів: проблеми на останній милі в Microsoft». Вся презентація була захоплюючою, якщо вас цікавить, як захистити облікові записи користувачів. Навіть якщо ця думка заглушить ваш розум, представлена статистика та цифри були дивовижними.
Microsoft відстежує понад 1 мільярд активних облікових записів щомісяця, тобто майже 1/8 населення світу. Вони генерують понад 30 мільярдів подій входу щомісяця. Кожен вхід до корпоративного облікового запису O365 може генерувати кілька записів для входу в кілька програм, а також додаткові події для інших програм, які використовують O365 для єдиного входу.
Якщо ця цифра звучить великою, майте це на увазі Microsoft щодня припиняє 300 мільйонів шахрайських спроб входу. Знову ж таки, це не за рік чи місяць, а 300 мільйонів на день.
У січні 2020 року 480 000 облікових записів Microsoft — 0,048 відсотка всіх облікових записів Microsoft — були скомпрометовані атаками з розпиленням. Це коли зловмисник запускає звичайний пароль (наприклад, «Весна 2020!») зі списками тисяч облікових записів, сподіваючись, що деякі з них використають цей загальний пароль.
Спрей – це лише одна з форм нападу; ще сотні й тисячі були викликані вбивством посвідчень. Щоб увічнити їх, зловмисник купує імена користувачів і паролі в темній мережі і випробовує їх на інших системах.
Потім є фішинг, коли зловмисник переконує вас увійти на підроблений веб-сайт, щоб отримати ваш пароль. Такими методами зазвичай «зламують» онлайн-рахунки.
Загалом у січні було зламано понад 1 мільйон облікових записів Microsoft. Це трохи більше 32 000 скомпрометованих облікових записів на день, що звучить погано, поки ви не згадаєте, що 300 мільйонів шахрайських спроб входу припинялися щодня.
Але найголовніша цифра – це 99,9 відсотка всіх зломів облікового запису Microsoft було б припинено якщо в облікових записах увімкнено двофакторну автентифікацію.
Що таке двофакторна аутентифікація?
Нагадуємо, що двофакторна автентифікація (2FA) вимагає додаткового методу автентифікації вашого облікового запису, а не лише імені користувача та пароля. Цей додатковий метод часто являє собою шестизначний код, надісланий на ваш телефон за допомогою SMS або згенерований програмою. Потім ви вводите цей шестизначний код як частину процедури входу до свого облікового запису.
Двофакторна аутентифікація є різновидом багатофакторної аутентифікації (MFA). Існують також інші методи MFA, включаючи фізичні токени USB, які ви підключаєте до свого пристрою, або біометричне сканування відбитків пальців або ока. Однак код, надісланий на ваш телефон, є найпоширенішим.
Однак багатофакторна аутентифікація — це широкий термін — наприклад, дуже безпечний обліковий запис може вимагати трьох факторів замість двох.
Чи 2FA зупинила б порушення?
Під час розпилювальних атак і заповнення облікових даних зловмисники вже мають пароль — їм просто потрібно знайти облікові записи, які його використовують. Під час фішингу зловмисники мають і ваш пароль, і ім’я облікового запису, що ще гірше.
Якби в облікових записах Microsoft, які були зламані в січні, було ввімкнено багатофакторну автентифікацію, простого пароля було б недостатньо. Хакеру також потрібен був би доступ до телефонів своїх жертв, щоб отримати код МЗС, перш ніж він зможе увійти в ці облікові записи. Без телефону зловмисник не зміг би отримати доступ до цих облікових записів, і вони не були б зламані.
Якщо ви вважаєте, що ваш пароль неможливо вгадати, і ви ніколи не потрапите на фішингову атаку, давайте зануримося в факти. За словами Алекса Вейнарта, головного архітектора Microsoft, Ваш пароль насправді не має такого великого значення коли справа доходить до захисту вашого облікового запису.
Це також стосується не лише облікових записів Microsoft — кожен обліковий запис в Інтернеті настільки ж уразливий, якщо він не використовує MFA. За даними Google, МЗС зупинилося на 100 відсотків автоматизованих ботів (атак розпилення, заповнення облікових даних та подібних автоматизованих методів).
Якщо ви подивитеся на нижній лівий кут дослідницької діаграми Google, метод «Ключ безпеки» був на 100 відсотків ефективним у зупиненні автоматичних ботів, фішингу та цільових атак.
Отже, що таке метод «Ключ безпеки»? Він використовує програму на вашому телефоні для створення коду MFA.
Хоча метод «SMS Code» також був дуже ефективним — і це абсолютно краще, ніж взагалі не мати MFA, — додаток ще краще. Ми рекомендуємо Authy, оскільки він безкоштовний, простий у використанні та потужний.
Як увімкнути 2FA для всіх ваших облікових записів
Ви можете ввімкнути 2FA або інший тип MFA для більшості онлайн-облікових записів. Ви знайдете налаштування в різних місцях для різних облікових записів. Однак, як правило, він знаходиться в меню налаштувань облікового запису в розділі «Обліковий запис» або «Безпека».
На щастя, у нас є посібники, які розповідають, як увімкнути MFA для деяких із найпопулярніших веб-сайтів і програм:
Amazon
Apple ID
Facebook
Google/Gmail
Instagram
LinkedIn
Microsoft
Гніздо
Nintendo
Reddit
Кільце
Слабість
Steam
Twitter
MFA – найефективніший спосіб захистити свої облікові записи в Інтернеті. Якщо ви ще цього не зробили, знайдіть час, щоб увімкнути його якомога швидше, особливо для критично важливих облікових записів, як-от електронна пошта та банківські операції.