مايكروسافت: احراز هويت چندعاملي مانع هكشدن حساب متخصصي ميشود
مايكروسافت ميگويد متخصصاني كه احراز هويت چندعاملي (Multi-factor Authentication يا به اختصار MFA) را براي حساب متخصصي خود فعال كردهاند، در برابر ۹۹٫۹ درصد حملات مصون خواهند بود. اين توصيه نهتنها براي حسابهاي متخصصي مايكروسافت، كه براي هر نوع حساب متخصصي ديگري در هر نوع خدمات الكترونيك است.
مايكروسافت توصيه ميكند اگر ارائهدهندهي خدماتتان از احراز هويت چندعاملي همراهي ميكند، حتماً از آن استفاده كنيد؛ چه صرفا بهسادگي گذرواژههاي يكبارمصرف پيامكي باشد يا راهكارهاي پيشرفتهي بايومتريكس (اثر انگشت ، اسكنر چشم و...). الكس وِينرت، مدير «نيروي سادهوه حفاظت و امنيت هويت» در مايكروسافت ميگويد:
براساس تحقيقات ما، اگر از احراز هويت چندعاملي استفاده كنيد، ۹۹٫۹ درصد كمتر در معرض خطر خواهيد بود.
گذرواژه ديگر اهميتي ندارد
وينرت ميگويد توصيههاي قديمي مثل «استفاده نكردن از گذرواژههاي قبلاً افشاءشده در رخنههاي امنيتي» يا «استفاده از رمزهاي بسيار طولاني» واقعاً ديگر كمكي نميكند.
حرف او حتما دليل محكمي دارد؛ زيرا وِينرت يكي از همان مهندسان مايكروسافت است كه سال ۲۰۱۶ استفاده از موارد موجود در فهرست گذرواژههاي افشاءشده در اكتيو دايركتوي آژور را ممنوع كرد و از متخصصاني كه قصد استفاده از اين گذرواژهها را داشتند، خواست تا آن را تغيير بدهند. اما وينرت ميگويد باوجود جلوگيري از استفاده از گذرواژههاي افشاشده يا آسان، در ساليان بعد هم هكرها توانستند به همان مقدار حساب متخصصي متخصصان را به خطر بيندازند. وي اين مسئله را به اين دليل ميداند كه ديگر پيچيدگي گذرواژهها اهميتي ندارد. امروزه هكرها از روشهاي متفاوتي براي دستيابي به رمز متخصصان بهره ميبرند كه در اغلب اين روشها خود پسورد اهميتي ندارد.
نوع حمله | نامهاي ديگر | فراواني | سختي: مكانيزم | بستر حمله | آيا خود گذرواژه اهميتي دارد |
|---|---|---|---|---|---|
Credential-Stuffing جايگذاري رمز | Breach replay, list cleaning | بسيار بالا كاوش روزانه بيش از ۲۰ ميليون حساب متخصصي به اين روش | بسيار آسان خريد ديتابيس گذرواژههاي افشاشدهي متخصصان استفاده از آن در ديگر سامانههاي مورد استفاده متخصص ابزارهاي مربوطه به راحتي در دسترس است | كاربر انساني استفاده از رمز جديد براي انسان دشوار است ۶۲ درصد متخصصان از يك گذرواژه استفاده ميكنند | خير حملهكننده گذرواژه را در اختيار دارد |
Phishing فيشينگ | Man-in-the-middle, credential interception فرد مياني استراق رمز | بسيار بالا حدود نيم درصد از تمام رايانامهها | آسان ارسال رايانامههاي جذاب يا اخطارآميز هدايت متخصص به سايت همدست براي ثبتنام ذخيره گذرواژه، استفاده از اين علائم و نشانهها ابزارهاي آماده براي آسانكردن فرايند | كاربر انساني كنجكاوي يا نگراني و بيتوجهي به علائم اخطاردهنده | خير كاربر گذرواژه را در اختيار حملهكننده ميگذارد |
Keystroke logging كي لاگر | بدافزار، رديابي | پايين | متوسط بدافزار نام متخصصي، گذرواژه و هرچيز تايپشده توسط متخصص را ذخيره و ارسال ميكند. حملهكننده بايد آنها را از هم تفكيك كند | كليككردن لينكها اجرا بهعنوان ادمين اسكن نكردن بدافزارها | خير بدافزار هرچه تايپ ميشود را ثبت ميكند |
جستجوي محلي | زبالهگردي، جستجوي فيزيكي، اسكن شبكه | پايين | جستجوي يادداشتهاي روزانه متخصص براي گذرواژه اسكن شبكه براي فايلهاي اشتراكي اسكن كدرمز يا اجراي اسكريپت پاكسازي | استخراج گذرواژهها (بسته به پيچيدگي يا نبود SSO) استفاده از گذرواژهها براي حسابهاي غيرحضوري | خير گذرواژه دقيقا كشف شده است |
اخاذي | باجگيري تهديد داخلي | بسيار پايين بيشتر در فيلمها | سخت تهديدآبرو يا آسيبرساندن به صاحب حساب | كاربر انساني | خير گذرواژه تسليم ميشود |
Password spray رمزپراني | حدسزدن همرينگ آهسته و پيوسته | بسيار بالا حداقل ۱۶ درصد از حملات روزانه و هكشدن صدها حساب ميليونها اقدام روزانه | مثل آب خوردن استفاده از فهرست متخصصان و امتحان يك گذرواژه براي تعداد بسياري از نامهاي متخصصي استفاده از شناسهي متخصصي مختلف جهت جلوگيري از شناسايي ابزارهاي مربوطه به راحتي و ارزان در دسترس هستند | كاربر انساني استفاده از گذرواژههاي رايج مثل qwerty۱۲۳ يا Summer۲۰۱۹! | خير اگر درميان گذرواژههاي حملهكننده باشد |
Brute force حملهي سنگين | استخراج ديتابيس، كركينگ | خيلي پايين | بستگي دارد آسان: اگر شبكهاي با سطح حفاظتي ضعيف باشد (مثلا صرفاً استفاده از رمز براي ادمين) سختتر: وجود حفاظت فيزيكي و عملياتي مناسب از پايگاهداده ميزان سختي به نوع كدگذاري نيز بستگي دارد | خير | خير مگر گذرواژهي غيرقابل استفاده بهكار برده باشيد (پسورد منيجر) استفاده از كليدواژههاي خلاقانه |
با درانديشه متخصصين گرفتن بيش از ۳۰۰ ميليون تلاش روزانه براي نفوذ به حساب متخصصان خدمات ابري مايكروسافت، وي معتقد است درصورت استفاده از روشهاي احراز هويت چندعاملي دربرابر ۹۹٫۹ درصد از اين حملات مصون خواهيد بود حتي اگر حملهكننده به رمز شما دست يافته باشد.
يك دهم درصد باقيمانده نيز مربوط به حملات پيچيدهتري است كه از راهكارهاي متخصص توكِنهاي احراز هويت چندعاملي بهره ميبرند. اما اين حملات هنوز هم در مقايسه با حملات گروهي باتنتي استخراج رمزها بسيار نادر است.
گوگل هم انديشه متخصصيني مشابه دارد
ادعاي مايكروسافت درخصوص جلوگيري از ۹۹٫۹ درصد حملات با استفاده از احراز هويت چندعاملي تنها ادعا از اين دست نيست. ماه مه گذشته، گوگل اعلام كرد متخصصاني كه شماره تلفن بازيابي حساب متخصصي را به حساب گوگل خود اضافه كردهاند هم (احراز هويت چندعاملي مبتني بر پيامك) درواقع امنيت حساب متخصصي خود را افزايش دادهاند:
مطالعههاي ما نشان ميدهدكه حتي اضافه كردن يك شماره تلفن بازيابي رمز به حساب گوگل ميتواند دربرابر صددرصد باتهاي خودكار، ۹۹ درصد از حملات فيشينگ گسترده و ۶۶ درصد از حملات مشخص به يك حساب خاص بازدارنده باشد.
وقتي گوگل و مايكروسافت هردو يك چيز را پيشنهاد ميدهند، يعني زمان مناسبي براي عمل كردن به اين توصيه است.
هم انديشي ها