44 milijonai „Microsoft“ ir „Azure“ vartotojų ir toliau naudoja pažeistus slaptažodžius, naujus tyrimų radinius

Internetinės bendrovės ir tarnybos kasdien patiria kredencialų įdaro išpuolius, o pasekmės dažnai būna gana sunkios. Kyla grėsmė, ir saugumo specialistai nenustoja apie tai kalbėti. Kažkas akivaizdžiai turi būti padaryta, o norėdami geriau suprasti, kas vyksta, apsaugos pardavėjai tiria žmonių slaptažodžių tvarkymo įpročius. Deja, kuo daugiau jie tai padarys, tuo labiau mes suvoksime, kad tikėtina, kad įgaliojimo įdarai greitai neišnyks.

Pavyzdžiui, šių metų pradžioje, pavyzdžiui, „Microsoft“ ekspertai bandė sužinoti daugiau apie tai, ką žmonės daro norėdami apsaugoti savo „Azure“ paskyras, ir, pasinaudoję jų išvadomis, galime padaryti dvi pagrindines išvadas. Pirmasis yra tas, kad dar niekada nebuvo taip lengva ištraukti sėkmingą kredencialų įdaro ataką. Antra, vartotojai nėra visiškai informuoti apie siaubingas pasekmes.

Daugiau nei 44 mln. „Microsoft“ klientų rado anksčiau slaptažodžius

„Microsoft“ tyrimas prasidėjo 2019 m. Sausio mėn., Kai ekspertai paėmė 3 milijardų naudotojo ir slaptažodžio porų, pavogtų iš įvairių internetinių paslaugų ir platformų, kolekciją. Tada jie patikrino juos su įgaliojimų sąrašu, kurį sukūrė „Azure AD“ ir „Microsoft Services“ vartotojai, ir rado atitiktį daugiau nei 44 milijonams paskyrų.

Kitaip tariant, pirmąjį šių metų ketvirtį kiekvienas, turėjęs prieigą prie 3 milijardų pavogtų prisijungimo duomenų, galėjo lengvai perimti daugiau nei 44 milijonų žmonių sąskaitas. Tai skamba beveik per daug bauginančiai, kad būtų tiesa, ir mes esame tikri, kad kai kurie iš jūsų jau pakėlė pirštą prieštaraudami. Jie gali sakyti, kad įprasti 3 milijardus vartotojo vardo ir slaptažodžio derinių jūsų įprastiniam elektroniniam bankui būtų beveik neįmanoma. Deja, tai toli gražu ne tiesa.

Pavogti prisijungimo duomenys parduodami tamsiose internetinėse prekyvietėse ir žemės riešutų įsilaužimo forumuose, o neseniai kibernetinių nusikaltėlių grupuotė padarė paprastą konfigūravimo klaidą ir parodė, kad kartais viskas, kas stovi tarp įsilaužėlio ir masyvios prisijungimo duomenų stichijos, yra paprasta paieškos užklausa.

Apskritai, šiais laikais organizuoti kredencialų įdaro išpuolį nėra labai sunku, o vartotojų aplaidumas dėl slaptažodžio saugumo reiškia, kad greičiausiai tai bus labai efektyvu. Bet ką mes galime padaryti, kad tai pakeistume?

„Microsoft“ verčia iš naujo nustatyti slaptažodį klientams, naudojantiems slaptus slaptažodžius

Pamačiusi skaičius, „Microsoft“ nedelsdama privertė iš naujo nustatyti slaptažodį visiems žmonėms, kurie naudojosi pažeistais įgaliojimais. Panaikindami pažeistus slaptažodžius, ji sukūrė gana didelę kliūtį visiems, bandantiems užmegzti kreivių duomenų užpultą „Azure“ vartotojams. Deja, to niekada negali pakakti norint visiškai išspręsti problemą.

Pirma, kaip rodo kitas neseniai atliktas tyrimas, maždaug pusė žmonių yra linkę lengvai modifikuoti savo senus slaptažodžius, kai yra priversti juos atnaujinti. Net jei jiems iškyla problemų kuriant naują slaptažodį, yra tikimybė, kad jie pereis ir pakartotinai panaudos jį kitose sąskaitose.

Įgaliojimų pildymas priklauso nuo blogo slaptažodžio tvarkymo, o faktai rodo, kad žmonės tiesiog nežino, kaip teisingai tvarkyti savo prisijungimo duomenis. Sąmoningumas yra vienintelis dalykas, galintis iš tikrųjų paversti lenteles. Jei žmonės žinos, kaip tinkamai apsaugoti savo sąskaitas, ir jei yra susipažinę su turimais įrankiais, jie bus labiau linkę išvengti tų pačių senų klaidų.

Deja, nors pastangos šviesti Joe ir Joanne Average yra didžiulės, „Microsoft“ tyrimas ir kiti panašūs tyrimai rodo, kad pažanga yra nepaprastai lėta.