Hãy chú ý: 99,9 Phần trăm Tài khoản Microsoft bị Tấn công Không sử dụng 2FA

Spread the love

Xác thực hai yếu tố (2FA) là phương pháp hiệu quả nhất để ngăn chặn truy cập trái phép vào tài khoản trực tuyến. Vẫn cần thuyết phục? Hãy xem những con số đáng kinh ngạc này từ Microsoft.

Những con số khó

Vào tháng 2 năm 2020, Microsoft đã một bài thuyết trình tại Hội nghị RSA có tựa đề “Phá vỡ sự phụ thuộc vào mật khẩu: Những thách thức trong chặng đường cuối cùng tại Microsoft.” Toàn bộ bài thuyết trình thật hấp dẫn nếu bạn quan tâm đến cách bảo mật tài khoản người dùng. Ngay cả khi suy nghĩ đó làm đầu óc bạn tê liệt, các thống kê và con số được trình bày thật đáng kinh ngạc.

Microsoft theo dõi hơn 1 tỷ tài khoản đang hoạt động hàng tháng, gần 1/8 dân số thế giới. Chúng tạo ra hơn 30 tỷ sự kiện đăng nhập hàng tháng. Mỗi lần đăng nhập vào tài khoản O365 của công ty có thể tạo nhiều mục đăng nhập trên nhiều ứng dụng, cũng như các sự kiện bổ sung cho các ứng dụng khác sử dụng O365 để đăng nhập một lần.

Nếu con số đó nghe có vẻ lớn, hãy nhớ rằng Microsoft ngăn chặn 300 triệu nỗ lực đăng nhập gian lận mỗi ngày. Một lần nữa, đó không phải là mỗi năm hoặc mỗi tháng, mà là 300 triệu mỗi ngày.

Vào tháng 1 năm 2020, 480.000 tài khoản Microsoft — 0,048% tổng số tài khoản Microsoft — đã bị xâm nhập do các cuộc tấn công rải rác. Đây là khi kẻ tấn công chạy một mật khẩu chung (như “Spring2020!”) Chống lại danh sách hàng nghìn tài khoản, với hy vọng rằng một số trong số đó sẽ sử dụng mật khẩu chung đó.

  Chạy ứng dụng ở chế độ xem chia đôi màn hình & chuyển từ thanh bên

Thuốc xịt chỉ là một hình thức tấn công; hàng trăm và hàng nghìn khác là do nhồi nhét thông tin xác thực. Để duy trì những điều này, kẻ tấn công mua tên người dùng và mật khẩu trên dark web và thử chúng trên các hệ thống khác.

Sau đó, có lừa đảo, đó là khi kẻ tấn công thuyết phục bạn đăng nhập vào một trang web giả mạo để lấy mật khẩu của bạn. Các phương pháp này là cách tài khoản trực tuyến thường bị “tấn công”, theo cách nói thông thường.

Tổng cộng, hơn 1 triệu tài khoản Microsoft đã bị xâm phạm trong tháng Giêng. Đó chỉ là hơn 32.000 tài khoản bị xâm nhập mỗi ngày, điều này nghe có vẻ tệ cho đến khi bạn nhớ 300 triệu lần đăng nhập gian lận đã bị dừng mỗi ngày.

Nhưng điều quan trọng nhất là 99,9% tất cả các vụ vi phạm tài khoản Microsoft sẽ được ngăn chặn nếu các tài khoản đã bật xác thực hai yếu tố.

Xác thực hai yếu tố là gì?

Xin nhắc lại nhanh chóng, xác thực hai yếu tố (2FA) yêu cầu một phương pháp bổ sung để xác thực tài khoản của bạn thay vì chỉ tên người dùng và mật khẩu. Phương thức bổ sung đó thường là một mã gồm sáu chữ số được gửi đến điện thoại của bạn qua SMS hoặc được tạo bởi một ứng dụng. Sau đó, bạn nhập mã sáu chữ số đó như một phần của quy trình đăng nhập vào tài khoản của mình.

Xác thực hai yếu tố là một loại xác thực đa yếu tố (MFA). Ngoài ra còn có các phương pháp MFA khác, bao gồm mã thông báo USB vật lý mà bạn cắm vào thiết bị của mình hoặc quét sinh trắc học dấu vân tay hoặc mắt của bạn. Tuy nhiên, cho đến nay, mã được gửi đến điện thoại của bạn là mã phổ biến nhất.

  Cách khắc phục sự cố khởi động Word

Tuy nhiên, xác thực đa yếu tố là một thuật ngữ rộng — ví dụ, một tài khoản rất an toàn có thể yêu cầu ba yếu tố thay vì hai yếu tố.

Liệu 2FA có ngăn chặn được vi phạm?

Trong các cuộc tấn công dạng phun và nhồi nhét thông tin đăng nhập, những kẻ tấn công đã có mật khẩu — chúng chỉ cần tìm các tài khoản sử dụng mật khẩu đó. Với lừa đảo, những kẻ tấn công có cả mật khẩu và tên tài khoản của bạn, điều này thậm chí còn tồi tệ hơn.

Nếu các tài khoản Microsoft bị xâm phạm vào tháng 1 đã được kích hoạt xác thực đa yếu tố, thì chỉ cần có mật khẩu là chưa đủ. Tin tặc cũng sẽ cần quyền truy cập vào điện thoại của nạn nhân để lấy mã MFA trước khi có thể đăng nhập vào các tài khoản đó. Nếu không có điện thoại, kẻ tấn công sẽ không thể truy cập vào các tài khoản đó và chúng sẽ không bị xâm phạm.

Nếu bạn cho rằng mật khẩu của mình không thể đoán được và bạn sẽ không bao giờ bị tấn công lừa đảo, hãy đi sâu vào sự thật. Theo Alex Weinart, một kiến ​​trúc sư chính của Microsoft, mật khẩu của bạn thực ra không quan trọng lắm khi nói đến bảo mật tài khoản của bạn.

Điều này không chỉ áp dụng cho các tài khoản Microsoft — mọi tài khoản trực tuyến đều dễ bị tấn công nếu nó không sử dụng MFA. Theo Google, MFA đã dừng 100% các cuộc tấn công bot tự động (tấn công phun, nhồi nhét thông tin xác thực và các phương pháp tự động tương tự).

Nếu bạn nhìn vào phía dưới bên trái của biểu đồ nghiên cứu của Google, phương pháp “Khóa bảo mật” có hiệu quả 100% trong việc ngăn chặn bot tự động, lừa đảo và các cuộc tấn công có chủ đích.

  Giải thích về bo mạch chủ: ATX, MicroATX và Mini-ITX là gì?

Vậy, phương pháp “Khóa bảo mật” là gì? Nó sử dụng một ứng dụng trên điện thoại của bạn để tạo mã MFA.

Mặc dù phương pháp “Mã SMS” cũng rất hiệu quả — và nó hoàn toàn tốt hơn so với việc không có MFA — một ứng dụng thậm chí còn tốt hơn. Chúng tôi khuyên bạn nên sử dụng Authy, vì nó miễn phí, dễ sử dụng và mạnh mẽ.

Cách bật 2FA cho tất cả tài khoản của bạn

Bạn có thể bật 2FA hoặc một loại MFA khác cho hầu hết các tài khoản trực tuyến. Bạn sẽ tìm thấy cài đặt này ở các vị trí khác nhau cho các tài khoản khác nhau. Tuy nhiên, nói chung, nó nằm trong menu cài đặt của tài khoản trong “Tài khoản” hoặc “Bảo mật”.

May mắn thay, chúng tôi có hướng dẫn bao gồm cách bật MFA cho một số trang web và ứng dụng phổ biến nhất:

Amazon
ID Apple
Facebook
Google / Gmail
Instagram
LinkedIn
Microsoft
Tổ
Nintendo
Reddit
Vòng
Slack
Xông hơi
Twitter

MFA là cách hiệu quả nhất để bảo mật các tài khoản trực tuyến của bạn. Nếu bạn chưa thực hiện, hãy dành thời gian để bật tính năng này càng sớm càng tốt — đặc biệt là đối với các tài khoản quan trọng, như email và ngân hàng.

x