איור הצפנה
מיקרוסופט ביצעה לאחרונה ביקורת אבטחה עצמאית משלה לצורך הערכת איומים, והתוצאות היו מזעזעות. יצרנית מערכת ההפעלה Windows שמציעה גם כמה שירותים אחרים מבוססי ענן הבינה ש'מיליוני משתמשים 'נוהגים בהיגיינת סיסמאות לקויה ביותר. במילים אחרות, מספר עצום של משתמשים עושה שימוש חוזר בתעודות כניסה, מה שמקל מאוד על האקרים וסוכנויות זדוניות להשיג כניסה לא מורשית באמצעות טכניקות כניסה לגיטימיות.
מיקרוסופט ביצעה הערכת איומים על שירותיה כמו גם על המשתמשים בשירותים אלה בין ינואר למרץ השנה. החברה טוענת שהייתה המומה מתוצאות הביקורת הפרטית והביטחונית. אמנם שלל שירותי מיקרוסופט מטבעם מאובטחים ומוגנים היטב, אך נראה שהמשתמשים רשלנים לגבי פרוטוקולי אבטחה ובטיחות עם הנתונים שלהם. על פי צוות מחקר האיומים של מיקרוסופט , מיליוני משתמשים עושים שימוש רשלני בסיסמאות שלהם בשירותי מיקרוסופט.
שלושה מיליארד חשבונות מיקרוסופט מנותחים עם גילויים מזעזעים אודות סיסמאות ופרוטוקולי בטיחות מקוונים:
כמאמץ מתמשך לחיזוק אבטחת המשתמשים כמו גם שירותים שמיקרוסופט מציעה, בדקה החברה למעלה משלושה מיליארד חשבונות ואישורי כניסה. באופן מזעזע, 44 מיליון שירותי מיקרוסופט וחשבונות Azure AD היו בעלי אישורי כניסה זהים או תואמים. זה מצביע בבירור על שהמשתמשים השתמשו ברשלנות בכניסה שלהם בכמה פלטפורמות.
איפוס כפוי: מיקרוסופט מוצאת 44 מיליון משתמשים בסיסמאות לא מאובטחות - https://t.co/3txQQis1UG - #ייחודי #microsoft #בִּטָחוֹן #סיסמה # passworter #סיסמה pic.twitter.com/YsNoA17nEf תורגם באמצעות # MicrosoftFlow
- דניאל וילמיזר (@CSA_DVillamizar) 6 בדצמבר 2019
מה שנוגע עוד יותר הוא שמיקרוסופט גילתה מספר עצום מתוך 3 מיליארד החשבונות שעברו ביקורת, הודלף ברשת . זה גרם באופן שגרתי למיקרוסופט לאלץ איפוס סיסמא כדי להבטיח שהחשבונות נשמרו מפני שימוש לרעה בדיגיטל. כתוצאה מכך, מספר משתמשים בשירותי מיקרוסופט קיבלו באופן שגרתי התראות ודואר אלקטרוני שהודיעו להם על איפוס הכניסה. בנסיבות כאלה, מומלץ למשתמשים לבצע נוהל התחברות שכולל אישור בעלות על החשבונות.
ההיבט החשוב הנוסף שמיקרוסופט גילתה היה שניתן לפצח 30 אחוז מהסיסמאות שעברו שימוש חוזר או שונה תוך 10 ניחושים בלבד. מיותר להוסיף, זה מאפשר להאקרים לפרוס התקפת שידור חוזר של הפרה. במילים פשוטות, ברגע שהאקרים מצליחים להשיג כניסה לא מורשית באמצעות פרטי כניסה לגיטימיים, הם מנסים להשתמש באישורים דומים כדי לפרוץ גם לחשבונות אחרים. למותר לציין כי עם היגיינת סיסמאות לקויה, להתקפות כאלה יש סבירות גבוהה מאוד להצלחה.
מיקרוסופט: 44 מיליון חשבונות מיקרוסופט משתמשים בסיסמאות שהודלפו https://t.co/LvmbOKb3nd pic.twitter.com/cPFdVloAuz
- יורגן האוג (@Jorgenhauge) 6 בדצמבר 2019
כיצד להגן על חשבונות מקוונים מניסיונות פריצה?
ההיבט החיוני ביותר של אבטחה מקוונת הוא שימוש באישורי כניסה ייחודיים לכל פלטפורמה. גם אם מיקרוסופט מציעה מספר שירותים, חשוב כי משתמשים יזינו סיסמה שונה עבור כל שירות. זה מקטין משמעותית את הסיכון להתקפה חוזרת של הפרה.
'אם לא סיסמאות אז מה? '
גוגל ומיקרוסופט דיברו על עתיד ללא סיסמה, אבל מה זה אומר והאם הטכנולוגיה מוכנה לגרום לזה לקרות בקרוב? pic.twitter.com/mKeP3E10fB
- breizh2008 (@ breizh2008) 6 בדצמבר 2019
השיטה האחרת, בה יש להשתמש בשילוב עם סיסמאות חזקות וייחודיות היא אימות דו-גורמי (2FA). מיקרוסופט טוענת שניתן למנוע 99 אחוזים מהתקיפות באמצעות אימות מרובה גורמים. אגב, מיקרוסופט אכן מציעה למשתמשים את היכולת ליצור שמות משתמש ייחודיים במקום להסתמך על מזהה הדוא'ל. זה מעניק למשתמשים שיטה נוספת להרתיע מתקפה.
תגים בִּטָחוֹן חלונות