مایکروسافت: احراز هویت چندعاملی مانع هک‌شدن حساب کاربری می‌شود

شنبه ۹ شهریور ۱۳۹۸ - ۱۸:۰۰
مطالعه 4 دقیقه
خدمات ابری مایکروسافت روزانه شاهد ۳۰۰ میلیون اقدام دروغین برای ورود به حساب کاربران است. احراز هویت چندعاملی می‌تواند از انواع حملات تصاحب حساب کاربران جلوگیری کند.
تبلیغات

مایکروسافت می‌گوید کاربرانی که احراز هویت چندعاملی (Multi-factor Authentication یا به اختصار MFA) را برای حساب کاربری خود فعال کرده‌اند، در برابر ۹۹٫۹ درصد حملات مصون خواهند بود. این توصیه نه‌تنها برای حساب‌های کاربری مایکروسافت، که برای هر نوع حساب کاربری دیگری در هر نوع خدمات آنلاین است.

مایکروسافت توصیه می‌کند اگر ارائه‌دهنده‌ی خدماتتان از احراز هویت چندعاملی پشتیبانی می‌کند، حتماً از آن استفاده کنید؛ چه صرفا به‌سادگی گذرواژه‌های یک‌بارمصرف پیامکی باشد یا راهکارهای پیشرفته‌ی بایومتریکس (اثر انگشت ، اسکنر چشم و...). الکس وِینرت، مدیر «کارگروه حفاظت و امنیت هویت» در مایکروسافت می‌گوید:

براساس تحقیقات ما، اگر از احراز هویت چندعاملی استفاده کنید، ۹۹٫۹ درصد کمتر در معرض خطر خواهید بود.

گذرواژه دیگر اهمیتی ندارد

وینرت می‌گوید توصیه‌های قدیمی مثل «استفاده نکردن از گذرواژه‌های قبلاً افشاءشده در رخنه‌های امنیتی» یا «استفاده از رمزهای بسیار طولانی» واقعاً دیگر کمکی نمی‌کند.

حرف او حتما دلیل محکمی دارد؛ زیرا وِینرت یکی از همان مهندسان مایکروسافت است که سال ۲۰۱۶ استفاده از موارد موجود در فهرست گذرواژه‌های افشاءشده در اکتیو دایرکتوی آژور را ممنوع کرد و از کاربرانی که قصد استفاده از این گذرواژه‌ها را داشتند، خواست تا آن را تغییر بدهند. اما وینرت می‌گو‌ید باوجود جلوگیری از استفاده از گذرواژه‌های افشا‌شده یا آسان، در سالیان بعد هم هکرها توانستند به همان مقدار حساب کاربری کاربران را به خطر بیندازند. وی این مسئله را به این دلیل می‌داند که دیگر پیچیدگی گذرواژه‌ها اهمیتی ندارد. امروزه هکرها از روش‌های متفاوتی برای دستیابی به رمز کاربران بهره می‌برند که در اغلب این روش‌ها خود پسورد اهمیتی ندارد.

نوع حمله

نام‌های دیگر

فراوانی 

سختی: مکانیزم

بستر حمله

آیا خود گذرواژه اهمیتی دارد

Credential-Stuffing

جایگذاری رمز

Breach replay, list cleaning

بسیار بالا

کاوش روزانه بیش از ۲۰ میلیون حساب‌ کاربری به این روش

بسیار آسان

خرید دیتابیس گذرواژه‌های افشا‌شده‌ی کاربران

استفاده از آن در دیگر سامانه‌های مورد استفاده کاربر

ابزارهای مربوطه به راحتی در دسترس است

کاربر انسانی

استفاده از رمز جدید برای انسان دشوار است

۶۲ درصد کاربران از یک گذرواژه استفاده می‌کنند

خیر

حمله‌کننده گذرواژه را در اختیار دارد

Phishing

فیشینگ

Man-in-the-middle, credential interception

فرد میانی

استراق رمز

بسیار بالا

حدود نیم درصد از تمام ایمیل‌ها

آسان

ارسال ایمیل‌های جذاب یا اخطارآمیز

هدایت کاربر به سایت همدست برای ثبت‌نام

ذخیره گذرواژه، استفاده از این علائم و نشانه‌ها

ابزارهای آماده برای آسان‌کردن فرایند

کاربر انسانی

کنجکاوی یا نگرانی و بی‌توجهی به علائم اخطاردهنده

خیر

کاربر گذرواژه را در اختیار حمله‌کننده می‌گذارد

Keystroke logging

کی لاگر

بدافزار،

ردیابی

پایین

متوسط

بدافزار نام کاربری، گذرواژه و هرچیز تایپ‌شده توسط کاربر را ذخیره و ارسال می‌کند.

حمله‌کننده باید آن‌ها را از هم تفکیک کند

کلیک‌کردن لینک‌ها

اجرا به‌عنوان ادمین

اسکن نکردن بدافزارها

خیر

بدافزار هرچه تایپ می‌شود را ثبت می‌کند

جستجوی محلی

زباله‌گردی،

جستجوی فیزیکی،

اسکن شبکه

پایین

جستجوی یادداشت‌های روزانه کاربر برای گذرواژه

اسکن شبکه برای فایل‌های اشتراکی

اسکن کدرمز یا اجرای اسکریپت پاکسازی

استخراج گذرواژه‌ها (بسته به پیچیدگی یا نبود SSO)

استفاده از گذرواژه‌ها برای حساب‌های غیرحضوری

خیر

گذرواژه دقیقا کشف شده است

اخاذی

باجگیری

تهدید داخلی

بسیار پایین

بیشتر در فیلم‌ها

سخت

تهدیدآبرو یا آسیب‌رساندن به صاحب حساب

کاربر انسانی

خیر

گذرواژه تسلیم می‌شود

Password spray

رمزپرانی

حدس‌زدن

همرینگ

آهسته و پیوسته

بسیار بالا

حداقل ۱۶ درصد از حملات روزانه و هک‌شدن صدها حساب

میلیون‌ها اقدام روزانه

مثل آب خوردن

استفاده از فهرست کاربران و

امتحان یک گذرواژه برای تعداد بسیاری از نام‌های کاربری

استفاده از شناسه‌ی کاربری مختلف جهت جلوگیری از شناسایی

ابزارهای مربوطه به راحتی و ارزان در دسترس هستند

کاربر انسانی

استفاده از گذرواژه‌های رایج مثل qwerty۱۲۳ یا Summer۲۰۱۹!

خیر

اگر درمیان گذرواژه‌های حمله‌کننده‌ باشد

Brute force

حمله‌ی سنگین

استخراج دیتابیس،

کرکینگ

خیلی پایین

بستگی دارد

آسان: اگر شبکه‌ای با سطح حفاظتی ضعیف باشد

(مثلا صرفاً استفاده از رمز برای ادمین)

سخت‌تر: وجود حفاظت فیزیکی و عملیاتی مناسب از پایگاه‌داده

میزان سختی به نوع کدگذاری نیز بستگی دارد

خیر

خیر

مگر گذرواژه‌ی  غیرقابل استفاده به‌کار برده‌ باشید (پسورد منیجر)

استفاده از کلیدواژه‌های خلاقانه

با درنظر گرفتن بیش از ۳۰۰ میلیون تلاش روزانه برای نفوذ به حساب کاربران خدمات ابری مایکروسافت، وی معتقد است درصورت استفاده از روش‌های احراز هویت چندعاملی دربرابر ۹۹٫۹ درصد از این حملات مصون خواهید بود حتی اگر حمله‌کننده به رمز شما دست یافته باشد.

یک دهم درصد باقی‌مانده نیز مربوط به حملات پیچیده‌تری است که از راهکارهای فنی توکِن‌های احراز هویت چندعاملی بهره می‌برند. اما این حملات هنوز هم در مقایسه با حملات گروهی بات‌نتی استخراج رمزها بسیار نادر است.

گوگل هم نظری مشابه دارد

ادعای مایکروسافت درخصوص جلوگیری از ۹۹٫۹ درصد حملات با استفاده از احراز هویت چندعاملی تنها ادعا از این دست نیست. ماه مه گذشته، گوگل اعلام کرد کاربرانی که شماره تلفن بازیابی حساب‌ کاربری را به حساب گوگل خود اضافه کرده‌اند هم (احراز هویت چندعاملی مبتنی بر پیامک) درواقع امنیت حساب کاربری خود را افزایش داده‌اند:

بررسی‌های ما نشان می‌دهدکه حتی اضافه کردن یک شماره تلفن بازیابی رمز به حساب گوگل می‌تواند دربرابر صددرصد بات‌های خودکار، ۹۹ درصد از حملات فیشینگ گسترده و ۶۶ درصد از حملات مشخص به یک حساب خاص بازدارنده باشد.

وقتی گوگل و مایکروسافت هردو یک چیز را پیشنهاد می‌دهند، یعنی زمان مناسبی برای عمل کردن به این توصیه است.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات