ภาพประกอบการเข้ารหัส
เมื่อเร็ว ๆ นี้ Microsoft ได้ทำการตรวจสอบความปลอดภัยอิสระของตนเองสำหรับการประเมินภัยคุกคามและผลลัพธ์ที่ได้ก็น่าตกใจ ผู้ผลิตระบบปฏิบัติการ Windows ที่ให้บริการบนคลาวด์อื่น ๆ อีกมากมายตระหนักว่าผู้ใช้ 'หลายล้านคน' ปฏิบัติตามสุขอนามัยของรหัสผ่านที่ไม่ดีอย่างยิ่ง กล่าวอีกนัยหนึ่งคือผู้ใช้จำนวนมากนำข้อมูลรับรองการเข้าสู่ระบบกลับมาใช้ซ้ำทำให้แฮกเกอร์และหน่วยงานที่เป็นอันตรายสามารถเข้าถึงรายการที่ไม่ได้รับอนุญาตผ่านเทคนิคการเข้าสู่ระบบที่ถูกต้องได้ง่ายมาก
Microsoft ทำการประเมินภัยคุกคามของบริการตลอดจนผู้ใช้บริการเหล่านี้ระหว่างเดือนมกราคมถึงมีนาคมของปีนี้ บริษัท อ้างว่ารู้สึกตกใจกับผลการตรวจสอบความปลอดภัยส่วนตัวและภายใน ในขณะที่บริการของ Microsoft จำนวนมากมีความปลอดภัยโดยเนื้อแท้และได้รับการปกป้องเป็นอย่างดี แต่ก็เป็นผู้ใช้ที่ดูเหมือนจะไม่ใส่ใจเกี่ยวกับความปลอดภัยและโปรโตคอลความปลอดภัยกับข้อมูลของตน ตามที่ทีมวิจัยภัยคุกคามของ Microsoft ผู้ใช้หลายล้านคนใช้รหัสผ่านซ้ำในบริการของ Microsoft อย่างไม่ระมัดระวัง
บัญชี Microsoft สามพันล้านบัญชีที่วิเคราะห์ด้วยการเปิดเผยที่น่าตกใจเกี่ยวกับรหัสผ่านและโปรโตคอลความปลอดภัยออนไลน์:
จากความพยายามอย่างต่อเนื่องในการเสริมสร้างความปลอดภัยให้กับผู้ใช้ตลอดจนบริการที่ Microsoft นำเสนอ บริษัท ได้ตรวจสอบบัญชีมากกว่า 3 พันล้านบัญชีและข้อมูลรับรองการเข้าสู่ระบบ ที่น่าตกใจคือบริการของ Microsoft 44 ล้านบัญชีและบัญชี Azure AD มีข้อมูลรับรองการเข้าสู่ระบบที่เหมือนกันหรือตรงกัน สิ่งนี้บ่งชี้อย่างชัดเจนว่าผู้ใช้นำข้อมูลรับรองการเข้าสู่ระบบกลับมาใช้ซ้ำในหลาย ๆ แพลตฟอร์ม
บังคับให้รีเซ็ต: Microsoft พบผู้ใช้รหัสผ่านที่ไม่ปลอดภัย 44 ล้านคน - https://t.co/3txQQis1UG - #unique #microsoft # ความปลอดภัย #password #passworter #password pic.twitter.com/YsNoA17nEf แปลโดยใช้ # MicrosoftFlow
- Daniel Villamizar (@CSA_DVillamizar) 6 ธันวาคม 2019
สิ่งที่น่ากังวลยิ่งกว่านั้นคือ Microsoft ค้นพบบัญชีจำนวนมหาศาลจากบัญชี 3 พันล้านบัญชีที่ได้รับการตรวจสอบ รั่วไหลทางออนไลน์ . สิ่งนี้ได้แจ้งให้ Microsoft บังคับให้รีเซ็ตรหัสผ่านเป็นประจำเพื่อให้แน่ใจว่าบัญชีได้รับการปกป้องจากการละเมิดทางดิจิทัล เป็นผลให้ผู้ใช้บริการของ Microsoft หลายรายได้รับการแจ้งเตือนและอีเมลที่แจ้งให้ทราบเป็นประจำเกี่ยวกับข้อมูลรับรองการเข้าสู่ระบบที่ถูกรีเซ็ต ภายใต้สถานการณ์เช่นนี้ผู้ใช้ควรปฏิบัติตามขั้นตอนการเข้าสู่ระบบซึ่งเกี่ยวข้องกับการยืนยันความเป็นเจ้าของบัญชี
สิ่งสำคัญอื่น ๆ ที่ Microsoft ค้นพบคือ 30 เปอร์เซ็นต์ของรหัสผ่านที่ใช้ซ้ำหรือแก้ไขสามารถถอดรหัสได้ภายในการเดาเพียง 10 ครั้ง ไม่จำเป็นต้องเพิ่มสิ่งนี้ช่วยให้แฮกเกอร์สามารถใช้การโจมตีซ้ำที่ละเมิดได้ พูดง่ายๆก็คือเมื่อแฮกเกอร์สามารถรับรายการที่ไม่ได้รับอนุญาตผ่านรายละเอียดการเข้าสู่ระบบที่ถูกต้องได้สำเร็จพวกเขาก็พยายามใช้ข้อมูลรับรองที่คล้ายกันเพื่อเจาะเข้าไปในบัญชีอื่น ๆ ด้วย ไม่จำเป็นต้องพูดถึงด้วยความสะอาดของรหัสผ่านที่ไม่ดีการโจมตีดังกล่าวมีโอกาสประสบความสำเร็จสูงมาก
Microsoft: บัญชี Microsoft 44 ล้านบัญชีใช้รหัสผ่านที่รั่วไหล https://t.co/LvmbOKb3nd pic.twitter.com/cPFdVloAuz
- Jorgen Hauge (@Jorgenhauge) 6 ธันวาคม 2019
วิธีป้องกันบัญชีออนไลน์จากการพยายามแฮ็ก?
สิ่งที่สำคัญที่สุดของการรักษาความปลอดภัยออนไลน์คือการใช้ข้อมูลรับรองการเข้าสู่ระบบที่ไม่ซ้ำกันสำหรับแต่ละแพลตฟอร์ม แม้ว่า Microsoft จะให้บริการหลายอย่าง แต่ก็เป็นสิ่งสำคัญที่ผู้ใช้จะต้องป้อนรหัสผ่านที่แตกต่างกันสำหรับแต่ละบริการ ซึ่งจะช่วยลดความเสี่ยงของการโจมตีซ้ำช่องโหว่ได้อย่างมาก
'ถ้าไม่ใช่รหัสผ่านแล้วล่ะ? '
ทั้ง Google และ Microsoft ได้พูดคุยถึงอนาคตที่ไร้รหัสผ่าน แต่นั่นหมายความว่าอย่างไรและเทคโนโลยีนี้พร้อมที่จะทำให้เกิดขึ้นได้ทุกเมื่อในไม่ช้า pic.twitter.com/mKeP3E10fB
- breizh2008 (@ breizh2008) 6 ธันวาคม 2019
อีกวิธีหนึ่งที่ต้องใช้ร่วมกับรหัสผ่านที่รัดกุมและไม่ซ้ำใครคือ Two Factor Authentication (2FA) Microsoft อ้างว่า 99 เปอร์เซ็นต์ของการโจมตีสามารถป้องกันได้โดยใช้ Multi-Factor Authentication อนึ่ง Microsoft เสนอให้ผู้ใช้สามารถสร้างชื่อผู้ใช้ที่ไม่ซ้ำกันแทนที่จะอาศัย ID อีเมล วิธีนี้ให้สิทธิ์แก่ผู้ใช้อีกวิธีหนึ่งในการยับยั้งการโจมตี
แท็ก ความปลอดภัย Windows