Tin tức và phân tích của tất cả các thiết bị di động

99,9 phần trăm tài khoản Microsoft bị tấn công không sử dụng 2FA

Xác thực hai yếu tố (2FA) là phương pháp hiệu quả nhất để ngăn chặn truy cập trái phép vào tài khoản trực tuyến của bạn. Vẫn cần thuyết phục? Hãy xem những con số đáng kinh ngạc này từ Microsoft.

số cứng

Vào tháng 2 năm 2020, Microsoft đã thuyết trình tại Hội nghị RSA với tựa đề “Phá vỡ sự phụ thuộc vào mật khẩu: Những thách thức trong chặng đường cuối cùng tại Microsoft”. Toàn bộ bài thuyết trình rất hấp dẫn nếu bạn quan tâm đến cách bảo mật tài khoản người dùng. Ngay cả khi suy nghĩ đó làm bạn rối trí, thì các số liệu thống kê và con số được đưa ra thật đáng kinh ngạc.

Microsoft theo dõi hơn 1 gần một tỷ tài khoản hoạt động mỗi tháng 1/ /8 dân số thế giới. Họ tạo ra hơn 30 tỷ sự kiện đăng nhập mỗi tháng. Mỗi lần đăng nhập vào tài khoản công ty O365 của bạn có thể tạo nhiều mục nhập đăng nhập trên nhiều ứng dụng, cũng như các sự kiện bổ sung cho các ứng dụng khác sử dụng O365 cho đăng nhập một lần.

Nếu con số đó nghe có vẻ nhiều, hãy nhớ rằng Microsoft đã ngăn chặn 300 triệu lần đăng nhập giả mạo mỗi ngày. Xin nhắc lại, không phải một năm hay một tháng mà là 300 triệu mỗi ngày.

Vào tháng 1 năm 2020, 480.000 tài khoản Microsoft – 00,048% của tất cả các tài khoản Microsoft – đã bị xâm phạm bởi các cuộc tấn công phun. Điều này xảy ra khi kẻ tấn công chạy một bí mật được chia sẻ (ví dụ: “Spring2020!”) Trên danh sách hàng nghìn tài khoản với hy vọng rằng một số người trong số họ sẽ sử dụng bí mật được chia sẻ đó.

Thuốc xịt chỉ là một hình thức tấn công; hàng trăm và hàng ngàn người khác là do nhồi nhét thông tin xác thực. Để duy trì chúng, kẻ tấn công mua tên người dùng và mật khẩu trên dark web và thử chúng trên các hệ thống khác.

Sau đó là lừa đảo, đó là khi kẻ tấn công thuyết phục bạn đăng nhập vào một trang web giả mạo để lấy mật khẩu của bạn. Các phương pháp này là cách các tài khoản trực tuyến thường bị “tấn công” theo cách nói thông thường.

Tổng cộng, hơn 100.000 đã bị hack trong tháng Giêng 1 triệu tài khoản Microsoft. Đó chỉ là hơn 32.000 tài khoản bị xâm phạm mỗi ngày, điều này nghe có vẻ tệ cho đến khi bạn nhớ lại rằng 300 triệu lần đăng nhập giả đã bị chặn mỗi ngày.

Nhưng con số quan trọng nhất trong số 99,9 phần trăm tất cả các vi phạm tài khoản Microsoft sẽ bị dừng nếu các tài khoản đó đã bật xác thực hai yếu tố.

Xác thực hai yếu tố là gì?

Xin nhắc lại, xác thực hai yếu tố (2FA) yêu cầu một phương thức xác thực tài khoản bổ sung, không chỉ tên người dùng và mật khẩu. Phương pháp bổ sung này thường là một mã gồm sáu chữ số được gửi đến điện thoại của bạn qua SMS hoặc được tạo bởi một ứng dụng. Sau đó, bạn nhập mã gồm sáu chữ số này như một phần của thủ tục đăng nhập tài khoản của mình.

Xác thực hai yếu tố là một loại xác thực đa yếu tố (MFA). Các phương pháp MFA khác cũng tồn tại, bao gồm mã thông báo USB vật lý cắm vào thiết bị hoặc quét mắt hoặc vân tay sinh trắc học. Tuy nhiên, mã được gửi đến điện thoại của bạn cho đến nay là phổ biến nhất.

Tuy nhiên, xác thực đa yếu tố là một thuật ngữ rộng – ví dụ: một tài khoản rất an toàn có thể yêu cầu ba yếu tố thay vì hai.

2FA sẽ ngăn chặn vi phạm?

Với các cuộc tấn công phun và nhồi thông tin xác thực, những kẻ tấn công đã có mật khẩu – bạn chỉ cần tìm các tài khoản sử dụng nó. Với lừa đảo, những kẻ tấn công có cả mật khẩu và tên tài khoản của bạn, điều này thậm chí còn tồi tệ hơn.

Nếu các tài khoản Microsoft bị xâm phạm vào tháng 1 đã bật xác thực đa yếu tố, thì chỉ cần có mật khẩu là không đủ. Tin tặc cũng cần có quyền truy cập vào điện thoại của nạn nhân để lấy mã MFA trước khi họ có thể đăng nhập vào các tài khoản này. Nếu không có điện thoại, kẻ tấn công sẽ không thể truy cập vào các tài khoản này và chúng sẽ không bị xâm phạm.

Nếu bạn nghĩ rằng mật khẩu của mình là không thể đoán được và sẽ không bao giờ rơi vào một cuộc tấn công lừa đảo, hãy tìm hiểu sự thật. Theo Alex Weinart, kiến ​​trúc sư trưởng của Microsoft, mật khẩu của bạn không thực sự quan trọng lắm khi nói đến việc bảo mật tài khoản của bạn.

Và không chỉ tài khoản Microsoft – bất kỳ tài khoản trực tuyến nào cũng dễ bị tấn công nếu không sử dụng MFA. Theo Google, MFA đã ngăn chặn 100% các cuộc tấn công bot tự động (các cuộc tấn công phun, nhồi thông tin xác thực và các phương pháp tự động tương tự).

Nếu bạn nhìn vào góc dưới cùng bên trái của biểu đồ nghiên cứu của Google, phương pháp “khóa bảo mật” có hiệu quả 100% trong việc ngăn chặn các bot tự động, lừa đảo và tấn công có chủ đích.

Vậy phương pháp “khóa bảo mật” là gì? Nó sử dụng một ứng dụng trên điện thoại để tạo mã MFA.

Mặc dù phương pháp “Mã SMS” cũng rất hiệu quả – và hoàn toàn tốt hơn là không có MFA nào cả – ứng dụng thậm chí còn tốt hơn. Chúng tôi khuyên dùng Authy vì nó miễn phí, dễ sử dụng và mạnh mẽ.

Cách bật 2FA cho tất cả các tài khoản của bạn

Đối với hầu hết các tài khoản trực tuyến, bạn có thể bật 2FA hoặc một loại MFA khác. Bạn sẽ tìm thấy cài đặt này ở các vị trí khác nhau cho các tài khoản khác nhau. Tuy nhiên, điều này thường có trong menu cài đặt tài khoản trong phần “Tài khoản” hoặc “Bảo mật”.

May mắn thay, chúng tôi có hướng dẫn về cách bật MFA trên một số trang web và ứng dụng phổ biến nhất:

amazon
Apple TÔI
Facebook
Google/Gmail
Instagram
LinkedIn
Microsoft
Tổ
Nintendo
reddit
Vòng
Lỏng lẻo
Hơi nước
Twitter

MFA là cách hiệu quả nhất để bảo mật tài khoản trực tuyến. Nếu bạn chưa có, hãy dành thời gian kích hoạt nó càng sớm càng tốt – đặc biệt là đối với các tài khoản quan trọng như email và ngân hàng.