Microsoft avertizeaza: o parola puternica nu functioneaza, nici autentificarea standard cu mai multi factori

Alex Weinert – Director of Identity Security la Microsoft a avertizat cu privire la ineficienta parolelor si, mai recent, cu privire la autentificarea multi-factor standard sau MFA.

Parolele nu prea mai conteaza.

La inceputul acestui an, Alex Weinert – Director of Identity Security la Microsoft, a avertizat ca „PAROLA nu conteaza”, in sensul ca a explicat motivele pentru care nici parolele puternice nu sunt neaparat eficiente.

„Cand vine vorba de compozitie si lungime, parola dumneavoastra (in cea mai mare parte) nu conteaza”, a spus Weinert de la Microsoft. Ar trebui sa stie ce spune: echipa cu care Alex Weinert lucreaza la Microsoft se confrunta zilnic cu sute de milioane de atacuri si incercari de ”spargere” a parolelor.

„Amintiti-va ca tot ce il intereseaza pe atacator este sa fure parolele“…Aceasta este o diferenta esentiala intre securitatea ipotetica si cea practica” – atacatorul va face lucruri foarte nebunesti si creative despre care auziti la conferinte (sau oriunde) doar atunci cand nu exista o cale mai usoara si tinta atacului justifica efortul suplimentar.” – Alex Weinert – Director of Identity Security – Microsoft

Cu alte cuvinte, baietii rai vor face tot ce este necesar pentru a va fura parola, iar o parola puternica nu este un obstacol atunci cand infractorii au la dispozitie mult timp si o multime de instrumente mai ales daca miza este mare.

Intr-un tabel, el a prezentat o lista de motive pentru care hackerii au adesea succes. De exemplu:

—Password Breach  – “spargerea” parolei, adica baietii rai au deja parola dumneavoastra.

Risc: atacuri masive se intampla tot timpul. Deoarece au deja parola dumneavoastra si deoarece parolele sunt greu de inventat si ajung sa fie reutilizate (62% dintre utilizatori recunosc ca reutilizeaza parolele), hackerii pot intra in mai multe conturi cu aceeasi parola. Peste 20 de milioane de incercari de spargere a conturilor sunt desoperite zilnic in sistemele de identificare Microsoft.

— „Password Spray” adica ghicirea parolei – Sarcina dumneavoastra este sa aveti o parola care nu este usor de ghicit. Partea „buna” la atacurile de tip password spray este ca acest gen de atac este detectabil si odata detectat, serverul de conectare poate bloca conectarea pentru a proteja contul.

Risc: „Uneori sunt sute de mii de atacuri “reusite” pe zi si milioane de incercari de spargere a conturilor zilnic.”

—Phishing, adica, e-mailuri false – uneori cu aspect foarte autentic – care par a fi de la o companie de incredere, in care aveti incredere.

Atacatorii trimit e-mailuri care par a fi de la cineva cunoscut sau promit divertisment ori promotii sau ameninta cu diverse actiuni. E-mailul contine un link si, daca utilizatorul acceseaza linkul, acesta este apoi redirectionat catre site-ul doppelganger (un site fals care arata aproape identic cu cel original) pentru conectare. Cand “victima” introduce date de logare, le dezvaluie de fapt atacatorului. Sunt utilizate Modlishka sau instrumente similare pentru a face acest lucru foarte usor.

Risc: „functioneaza … oamenii sunt curiosi sau ingrijorati si ignora semnele de avertizare”.

Solutia pentru cele de mai sus (un indemn care vizeaza mai mult companiile tehnologice decat utilizatorii): mizati mai mult pe biometrie, cum ar fi amprenta digitala (sau o „amprenta cognitiva” *), identificarea vocala sau a fetei, potrivit Mountain View, California Synopsys, care, printre altele, este implicat in securitatea software-ului. „Aceste mecanisme de recunoastere sunt stocate numai pe dispozitivul utilizatorului. Parolele sunt „secrete partajate” care se afla atat pe dispozitiv, cat si pe un server care, dupa cum stim cu totii, pot fi compromise, a spus Synopsys.

* O amprenta cognitiva ar combina diverse comportamente, cum ar fi modul de apasare a tastelor, utilizarea mouse-ului, structura propozitiei si utilizarea limbajului.

Dar Synopsys adauga si acest lucru: daca va faceti parolele lungi si complicate, utilizati un amestec de litere, simboluri si punctuatie, va schimbati periodic parola si nu utilizati aceeasi parola pentru mai multe conturi, veti fi mai bine protejati decat majoritatea utilizatorilor, veti fi mai greu de atacat.

Nici autentificarea multi-factor bazata pe telefon (sms) nu este sigura:

MFA (Multi-Factor Authentication) bazat pe telefonie, pe sms, denumite retele telefonice cu comutare publica sau PSTN, nu este sigur, potrivit Weinert.

(Ce este MFA standard? Este atunci cand, de exemplu, o banca va trimite un cod de verificare printr-un mesaj text.)

„Cred ca sunt cele mai putin sigure dintre metodele MFA disponibile astazi”, a scris Weinert intr-un blog (prin ZDNet).

„Cand s-au dezvoltat protocoale SMS (mesaje text) si vocale, acestea au fost proiectate fara criptare … ceea ce inseamna ca semnalele pot fi interceptate de oricine poate avea acces la reteaua de comutare sau in raza de actiune a unui dispozitiv,” a scris Weinert.

Solutie: utilizati autentificarea bazata pe aplicatii cum ar fi de exemplu, Microsoft Authenticator sau alte aplicatii similare. O aplicatie este mai sigura, deoarece nu se bazeaza pe operatorul dumneavoastra de telefonie. Codurile se afla in aplicatia insasi si expira rapid.