مایکروسافت: احراز هویت چندعاملی مانع هکشدن حساب کاربری میشود
مایکروسافت میگوید کاربرانی که احراز هویت چندعاملی (Multi-factor Authentication یا به اختصار MFA) را برای حساب کاربری خود فعال کردهاند، در برابر ۹۹٫۹ درصد حملات مصون خواهند بود. این توصیه نهتنها برای حسابهای کاربری مایکروسافت، که برای هر نوع حساب کاربری دیگری در هر نوع خدمات آنلاین است.
مایکروسافت توصیه میکند اگر ارائهدهندهی خدماتتان از احراز هویت چندعاملی پشتیبانی میکند، حتماً از آن استفاده کنید؛ چه صرفا بهسادگی گذرواژههای یکبارمصرف پیامکی باشد یا راهکارهای پیشرفتهی بایومتریکس (اثر انگشت ، اسکنر چشم و...). الکس وِینرت، مدیر «کارگروه حفاظت و امنیت هویت» در مایکروسافت میگوید:
براساس تحقیقات ما، اگر از احراز هویت چندعاملی استفاده کنید، ۹۹٫۹ درصد کمتر در معرض خطر خواهید بود.
گذرواژه دیگر اهمیتی ندارد
وینرت میگوید توصیههای قدیمی مثل «استفاده نکردن از گذرواژههای قبلاً افشاءشده در رخنههای امنیتی» یا «استفاده از رمزهای بسیار طولانی» واقعاً دیگر کمکی نمیکند.
حرف او حتما دلیل محکمی دارد؛ زیرا وِینرت یکی از همان مهندسان مایکروسافت است که سال ۲۰۱۶ استفاده از موارد موجود در فهرست گذرواژههای افشاءشده در اکتیو دایرکتوی آژور را ممنوع کرد و از کاربرانی که قصد استفاده از این گذرواژهها را داشتند، خواست تا آن را تغییر بدهند. اما وینرت میگوید باوجود جلوگیری از استفاده از گذرواژههای افشاشده یا آسان، در سالیان بعد هم هکرها توانستند به همان مقدار حساب کاربری کاربران را به خطر بیندازند. وی این مسئله را به این دلیل میداند که دیگر پیچیدگی گذرواژهها اهمیتی ندارد. امروزه هکرها از روشهای متفاوتی برای دستیابی به رمز کاربران بهره میبرند که در اغلب این روشها خود پسورد اهمیتی ندارد.
نوع حمله | نامهای دیگر | فراوانی | سختی: مکانیزم | بستر حمله | آیا خود گذرواژه اهمیتی دارد |
---|---|---|---|---|---|
Credential-Stuffing جایگذاری رمز | Breach replay, list cleaning | بسیار بالا کاوش روزانه بیش از ۲۰ میلیون حساب کاربری به این روش | بسیار آسان خرید دیتابیس گذرواژههای افشاشدهی کاربران استفاده از آن در دیگر سامانههای مورد استفاده کاربر ابزارهای مربوطه به راحتی در دسترس است | کاربر انسانی استفاده از رمز جدید برای انسان دشوار است ۶۲ درصد کاربران از یک گذرواژه استفاده میکنند | خیر حملهکننده گذرواژه را در اختیار دارد |
Phishing فیشینگ | Man-in-the-middle, credential interception فرد میانی استراق رمز | بسیار بالا حدود نیم درصد از تمام ایمیلها | آسان ارسال ایمیلهای جذاب یا اخطارآمیز هدایت کاربر به سایت همدست برای ثبتنام ذخیره گذرواژه، استفاده از این علائم و نشانهها ابزارهای آماده برای آسانکردن فرایند | کاربر انسانی کنجکاوی یا نگرانی و بیتوجهی به علائم اخطاردهنده | خیر کاربر گذرواژه را در اختیار حملهکننده میگذارد |
Keystroke logging کی لاگر | بدافزار، ردیابی | پایین | متوسط بدافزار نام کاربری، گذرواژه و هرچیز تایپشده توسط کاربر را ذخیره و ارسال میکند. حملهکننده باید آنها را از هم تفکیک کند | کلیککردن لینکها اجرا بهعنوان ادمین اسکن نکردن بدافزارها | خیر بدافزار هرچه تایپ میشود را ثبت میکند |
جستجوی محلی | زبالهگردی، جستجوی فیزیکی، اسکن شبکه | پایین | جستجوی یادداشتهای روزانه کاربر برای گذرواژه اسکن شبکه برای فایلهای اشتراکی اسکن کدرمز یا اجرای اسکریپت پاکسازی | استخراج گذرواژهها (بسته به پیچیدگی یا نبود SSO) استفاده از گذرواژهها برای حسابهای غیرحضوری | خیر گذرواژه دقیقا کشف شده است |
اخاذی | باجگیری تهدید داخلی | بسیار پایین بیشتر در فیلمها | سخت تهدیدآبرو یا آسیبرساندن به صاحب حساب | کاربر انسانی | خیر گذرواژه تسلیم میشود |
Password spray رمزپرانی | حدسزدن همرینگ آهسته و پیوسته | بسیار بالا حداقل ۱۶ درصد از حملات روزانه و هکشدن صدها حساب میلیونها اقدام روزانه | مثل آب خوردن استفاده از فهرست کاربران و امتحان یک گذرواژه برای تعداد بسیاری از نامهای کاربری استفاده از شناسهی کاربری مختلف جهت جلوگیری از شناسایی ابزارهای مربوطه به راحتی و ارزان در دسترس هستند | کاربر انسانی استفاده از گذرواژههای رایج مثل qwerty۱۲۳ یا Summer۲۰۱۹! | خیر اگر درمیان گذرواژههای حملهکننده باشد |
Brute force حملهی سنگین | استخراج دیتابیس، کرکینگ | خیلی پایین | بستگی دارد آسان: اگر شبکهای با سطح حفاظتی ضعیف باشد (مثلا صرفاً استفاده از رمز برای ادمین) سختتر: وجود حفاظت فیزیکی و عملیاتی مناسب از پایگاهداده میزان سختی به نوع کدگذاری نیز بستگی دارد | خیر | خیر مگر گذرواژهی غیرقابل استفاده بهکار برده باشید (پسورد منیجر) استفاده از کلیدواژههای خلاقانه |
با درنظر گرفتن بیش از ۳۰۰ میلیون تلاش روزانه برای نفوذ به حساب کاربران خدمات ابری مایکروسافت، وی معتقد است درصورت استفاده از روشهای احراز هویت چندعاملی دربرابر ۹۹٫۹ درصد از این حملات مصون خواهید بود حتی اگر حملهکننده به رمز شما دست یافته باشد.
یک دهم درصد باقیمانده نیز مربوط به حملات پیچیدهتری است که از راهکارهای فنی توکِنهای احراز هویت چندعاملی بهره میبرند. اما این حملات هنوز هم در مقایسه با حملات گروهی باتنتی استخراج رمزها بسیار نادر است.
گوگل هم نظری مشابه دارد
ادعای مایکروسافت درخصوص جلوگیری از ۹۹٫۹ درصد حملات با استفاده از احراز هویت چندعاملی تنها ادعا از این دست نیست. ماه مه گذشته، گوگل اعلام کرد کاربرانی که شماره تلفن بازیابی حساب کاربری را به حساب گوگل خود اضافه کردهاند هم (احراز هویت چندعاملی مبتنی بر پیامک) درواقع امنیت حساب کاربری خود را افزایش دادهاند:
بررسیهای ما نشان میدهدکه حتی اضافه کردن یک شماره تلفن بازیابی رمز به حساب گوگل میتواند دربرابر صددرصد باتهای خودکار، ۹۹ درصد از حملات فیشینگ گسترده و ۶۶ درصد از حملات مشخص به یک حساب خاص بازدارنده باشد.
وقتی گوگل و مایکروسافت هردو یک چیز را پیشنهاد میدهند، یعنی زمان مناسبی برای عمل کردن به این توصیه است.