Cuidado: 99,9% das contas da Microsoft hackeadas não usam 2FA

A autenticação de dois fatores (2FA) é o método mais eficaz de impedir o acesso não autorizado a uma conta online. Ainda precisa de convencimento? Dê uma olhada nesses números de cair o queixo da Microsoft.

Os números difíceis

Em fevereiro de 2020, a Microsoft deu uma apresentação no Conferência RSA intitulado “Quebrando dependências de senha: desafios na milha final na Microsoft”. Toda a apresentação foi fascinante se você estiver interessado em como proteger contas de usuários. Mesmo que esse pensamento entorpeça sua mente, as estatísticas e os números apresentados foram surpreendentes.

A Microsoft rastreia mais de 1 bilhão de contas ativas mensalmente, o que é quase 1/8 da população mundial. Eles geram mais de 30 bilhões de eventos de login mensais. Cada login em uma conta corporativa do O365 pode gerar várias entradas de login em vários aplicativos, bem como eventos adicionais para outros aplicativos que usam o O365 para login único.

Se esse número parecer grande, lembre-se de que Microsoft interrompe 300 milhões de tentativas de login fraudulentas todos os dias. Novamente, isso não é por ano ou por mês, mas 300 milhões por dia.

Em janeiro de 2020, 480.000 contas da Microsoft – 0,048% de todas as contas da Microsoft – foram comprometidas por ataques de pulverização. É quando um invasor executa uma senha comum (como “Spring2020!”) em listas de milhares de contas, na esperança de que algumas delas tenham usado essa senha comum.

Sprays são apenas uma forma de ataque; centenas e milhares mais foram causados ​​por preenchimento de credenciais. Para perpetuá-los, o invasor compra nomes de usuário e senhas na dark web e os testa em outros sistemas.

Depois, há o phishing, que é quando um invasor o convence a fazer login em um site falso para obter sua senha. Esses métodos são como as contas online são normalmente “hackeadas”, na linguagem comum.

Ao todo, mais de 1 milhão de contas da Microsoft foram violadas em janeiro. São pouco mais de 32.000 contas comprometidas por dia, o que parece ruim até você se lembrar das 300 milhões de tentativas de login fraudulentas interrompidas por dia.

Mas o número mais importante de todos é que 99,9% de todas as violações de contas da Microsoft teriam sido interrompidas se as contas tiverem a autenticação de dois fatores habilitada.

O que é autenticação de dois fatores?

Como um lembrete rápido, a autenticação de dois fatores (2FA) requer um método adicional para autenticar sua conta em vez de apenas um nome de usuário e senha. Esse método adicional geralmente é um código de seis dígitos enviado ao seu telefone por SMS ou gerado por um aplicativo. Você então digita esse código de seis dígitos como parte do procedimento de login para sua conta.

A autenticação de dois fatores é um tipo de autenticação multifator (MFA). Também existem outros métodos de MFA, incluindo tokens USB físicos que você conecta ao seu dispositivo ou varreduras biométricas de sua impressão digital ou olho. No entanto, um código enviado para o seu telefone é de longe o mais comum.

No entanto, autenticação multifator é um termo amplo – uma conta muito segura pode exigir três fatores em vez de dois, por exemplo.

O 2FA teria parado as violações?

Em ataques de spray e preenchimento de credenciais, os invasores já têm uma senha – eles só precisam encontrar contas que a usem. Com o phishing, os invasores têm sua senha e seu nome de conta, o que é ainda pior.

Se as contas da Microsoft que foram violadas em janeiro tivessem a autenticação multifator habilitada, apenas ter a senha não teria sido suficiente. O hacker também precisaria acessar os telefones de suas vítimas para obter o código MFA antes de poder fazer login nessas contas. Sem o telefone, o invasor não conseguiria acessar essas contas e elas não teriam sido violadas.

Se você acha que sua senha é impossível de adivinhar e nunca cairia em um ataque de phishing, vamos mergulhar nos fatos. De acordo com Alex Weinart, arquiteto principal da Microsoft, sua senha na verdade não importa tanto quando se trata de proteger sua conta.

Isso também não se aplica apenas às contas da Microsoft — todas as contas online são igualmente vulneráveis ​​se não usarem MFA. De acordo com o Google, MFA parou 100 por cento de ataques de bot automatizados (ataques de spray, preenchimento de credenciais e métodos automatizados semelhantes).

Se você olhar no canto inferior esquerdo do gráfico de pesquisa do Google, o método “Security Key” foi 100% eficaz em parar bots automatizados, phishing e ataques direcionados.

Então, o que é o método “Chave de Segurança”? Ele usa um aplicativo em seu telefone para gerar um código MFA.

Embora o método “Código SMS” também tenha sido muito eficaz – e é absolutamente melhor do que não ter MFA – um aplicativo é ainda melhor. Recomendamos o Authy, pois é gratuito, fácil de usar e poderoso.

Como habilitar o 2FA para todas as suas contas

Você pode habilitar o 2FA ou outro tipo de MFA para a maioria das contas online. Você encontrará a configuração em locais diferentes para contas diferentes. Geralmente, porém, está no menu de configurações da conta em “Conta” ou “Segurança”.

Felizmente, temos guias que abordam como ativar a MFA para alguns dos sites e aplicativos mais populares:

Amazonas
identificação da Apple
o Facebook
Google/Gmail
Instagram
LinkedIn
Microsoft
Ninho
Nintendo
Reddit
Anel
Folga
Vapor
Twitter

A MFA é a maneira mais eficaz de proteger suas contas online. Se você ainda não fez isso, reserve um tempo para ativá-lo o mais rápido possível, especialmente para contas críticas, como e-mail e banco.