احراز هویت چندعاملی و جلوگیری از هک‌شدن حساب کاربری

خدمات ابری مایکروسافت روزانه شاهد ۳۰۰ میلیون درخواست غیرمجاز (اقدام دروغین) برای ورود به حساب کاربران است. احراز هویت چندعاملی می‌تواند از انواع حملات تصاحب حساب کاربران جلوگیری کند.

مایکروسافت می‌گوید کاربرانی که احراز هویت چندعاملی (Multi-factor Authentication یا به اختصار MFA) را برای حساب کاربری خود فعال کرده‌اند، در برابر ۹۹٫۹ درصد حملات مصون خواهند بود. این توصیه نه تنها برای حساب‌های کاربری مایکروسافت، که برای هر نوع حساب کاربری دیگری در هر نوع خدمات آنلاین است.

مایکروسافت توصیه می‌کند اگر ارائه‌دهنده خدمات‌تان از احراز هویت چندعاملی پشتیبانی می‌کند، حتما از آن استفاده کنید؛ خواه به‌سادگی گذر واژه‌های یک‌بارمصرف پیامکی باشد خواه راهکارهای پیشرفته بایومتریکس (اثر انگشت، اسکنر چشم و ...). الکس وِینرت، مدیر «کارگروه حفاظت و امنیت هویت» در مایکروسافت می‌گوید: بر اساس تحقیقات ما، اگر از احراز هویت چندعاملی استفاده کنید، ۹۹٫۹ درصد کمتر در معرض خطر خواهید بود.

بیشتر بخوانید: نرم افزار CRM

گذر واژه دیگر اهمیتی ندارد

وینرت می‌گوید توصیه‌های قدیمی مثل «استفاده نکردن از گذر واژه‌های قبلاً افشاء شده در رخنه‌های امنیتی» یا «استفاده از رمزهای بسیار طولانی» واقعا دیگر کمکی نمی‌کند.

حرف او حتما دلیل محکمی دارد؛ زیرا وِینرت یکی از همان مهندسان مایکروسافت است که سال ۲۰۱۶ استفاده از موارد موجود در فهرست گذرواژه‌های افشاء شده در Active Directory Azure را ممنوع کرد و از کاربرانی که قصد استفاده از این گذر واژه‌ها را داشتند، خواست تا آن را تغییر بدهند. اما وینرت می‌گو‌ید با وجود جلوگیری از استفاده از گذر واژه‌های افشا‌ شده یا آسان، در سالیان بعد هم هکرها توانستند به همان مقدار حساب کاربری کاربران را به خطر بیندازند. وی این مسئله را به این دلیل می‌داند که دیگر پیچیدگی گذر واژه‌ها اهمیتی ندارد. امروزه هکرها از روش‌های متفاوتی برای دستیابی به رمز کاربران بهره می‌برند که در اغلب این روش‌ها خود پسورد اهمیتی ندارد.

با در نظر گرفتن بیش از ۳۰۰ میلیون تلاش روزانه برای نفوذ به حساب کاربران خدمات ابری (cloud) مایکروسافت، وی معتقد است در صورت استفاده از روش‌های احراز هویت چندعاملی در برابر ۹۹٫۹ درصد از این حملات مصون خواهید بود حتی اگر حمله‌کننده به رمز شما دست یافته باشد.

یک دهم درصد باقی‌مانده نیز مربوط به حملات پیچیده‌تری است که از راهکارهای فنی توکن‌های احراز هویت چندعاملی بهره می‌برند. اما این حملات هنوز هم در مقایسه با حملات گروهی بات استخراج رمزها بسیار نادر است.

بیشتر بخوانید: نرم افزار مایکروسافت داینامیک 365

گوگل هم نظری مشابه دارد

ادعای مایکروسافت در خصوص جلوگیری از ۹۹٫۹ درصد حملات با استفاده از احراز هویت چندعاملی تنها ادعا از این دست نیست. ماه مه گذشته، گوگل اعلام کرد کاربرانی که شماره تلفن بازیابی حساب‌ کاربری را به حساب گوگل خود اضافه کرده‌اند هم (احراز هویت چندعاملی مبتنی بر پیامک) در واقع امنیت حساب کاربری خود را افزایش داده‌اند.

بررسی ما نشان می‌دهد که حتی اضافه کردن یک شماره تلفن بازیابی رمز به حساب گوگل می‌تواند در برابر صد در صد بات‌های خودکار، ۹۹ درصد از حملات فیشینگ گسترده و ۶۶ درصد از حملات مشخص به یک حساب خاص بازدارنده باشد.

وقتی گوگل و مایکروسافت هر دو یک چیز را پیشنهاد می‌دهند، یعنی زمان مناسبی برای عمل کردن به این توصیه است.

منبع: وب سایت زومیت