به گزارش
گرداب، مایکروسافت میگوید کاربرانی که احراز هویت چندعاملی (Multi-factor Authentication یا به اختصار MFA) را برای حساب کاربری خود فعال کردهاند، در برابر ۹۹٫۹ درصد حملات مصون خواهند بود. این توصیه نهتنها برای حسابهای کاربری مایکروسافت، که برای هر نوع حساب کاربری دیگری در هر نوع خدمات آنلاین است.
مایکروسافت توصیه میکند اگر ارائهدهندهی خدماتتان از احراز هویت چندعاملی پشتیبانی میکند، حتماً از آن استفاده کنید؛ چه صرفا بهسادگی گذرواژههای یکبارمصرف پیامکی باشد یا راهکارهای پیشرفتهی بایومتریکس (اثر انگشت ، اسکنر چشم و...). الکس وِینرت، مدیر «کارگروه حفاظت و امنیت هویت» در مایکروسافت میگوید:
براساس تحقیقات ما، اگر از احراز هویت چندعاملی استفاده کنید، ۹۹٫۹ درصد کمتر در معرض خطر خواهید بود.
گذرواژه دیگر اهمیتی ندارد
وینرت میگوید توصیههای قدیمی مثل «استفاده نکردن از گذرواژههای قبلاً افشاءشده در رخنههای امنیتی» یا «استفاده از رمزهای بسیار طولانی» واقعاً دیگر کمکی نمیکند.
حرف او حتما دلیل محکمی دارد؛ زیرا وِینرت یکی از همان مهندسان مایکروسافت است که سال ۲۰۱۶ استفاده از موارد موجود در فهرست گذرواژههای افشاءشده در اکتیو دایرکتوی آژور را ممنوع کرد و از کاربرانی که قصد استفاده از این گذرواژهها را داشتند، خواست تا آن را تغییر بدهند. اما وینرت میگوید باوجود جلوگیری از استفاده از گذرواژههای افشاشده یا آسان، در سالیان بعد هم هکرها توانستند به همان مقدار حساب کاربری کاربران را به خطر بیندازند. وی این مسئله را به این دلیل میداند که دیگر پیچیدگی گذرواژهها اهمیتی ندارد. امروزه هکرها از روشهای متفاوتی برای دستیابی به رمز کاربران بهره میبرند که در اغلب این روشها خود پسورد اهمیتی ندارد.
با درنظر گرفتن بیش از ۳۰۰ میلیون تلاش روزانه برای نفوذ به حساب کاربران خدمات ابری مایکروسافت، وی معتقد است درصورت استفاده از روشهای احراز هویت چندعاملی دربرابر ۹۹٫۹ درصد از این حملات مصون خواهید بود حتی اگر حملهکننده به رمز شما دست یافته باشد.
یک دهم درصد باقیمانده نیز مربوط به حملات پیچیدهتری است که از راهکارهای فنی توکِنهای احراز هویت چندعاملی بهره میبرند. اما این حملات هنوز هم در مقایسه با حملات گروهی باتنتی استخراج رمزها بسیار نادر است.
گوگل هم نظری مشابه دارد
ادعای مایکروسافت درخصوص جلوگیری از ۹۹٫۹ درصد حملات با استفاده از احراز هویت چندعاملی تنها ادعا از این دست نیست. ماه مه گذشته، گوگل اعلام کرد کاربرانی که شماره تلفن بازیابی حساب کاربری را به حساب گوگل خود اضافه کردهاند هم (احراز هویت چندعاملی مبتنی بر پیامک) درواقع امنیت حساب کاربری خود را افزایش دادهاند:
بررسیهای ما نشان میدهدکه حتی اضافه کردن یک شماره تلفن بازیابی رمز به حساب گوگل میتواند دربرابر صددرصد باتهای خودکار، ۹۹ درصد از حملات فیشینگ گسترده و ۶۶ درصد از حملات مشخص به یک حساب خاص بازدارنده باشد.
وقتی گوگل و مایکروسافت هردو یک چیز را پیشنهاد میدهند، یعنی زمان مناسبی برای عمل کردن به این توصیه است.