خدمات ابری مایکروسافت روزانه شاهد ۳۰۰ میلیون اقدام دروغین برای ورود به حساب کاربران است. احراز هویت چندعاملی می‌تواند از انواع حملات تصاحب حساب کاربران جلوگیری کند.

مایکروسافت می‌گوید کاربرانی که احراز هویت چندعاملی (Multi-factor Authentication یا به اختصار MFA) را برای حساب کاربری خود فعال کرده‌اند، در برابر ۹۹٫۹ درصد حملات مصون خواهند بود. این توصیه نه‌تنها برای حساب‌های کاربری مایکروسافت، که برای هر نوع حساب کاربری دیگری در هر نوع خدمات آنلاین است.

مایکروسافت توصیه می‌کند اگر ارائه‌دهنده‌ی خدماتتان از احراز هویت چندعاملی پشتیبانی می‌کند، حتماً از آن استفاده کنید؛ چه صرفا به‌سادگی گذرواژه‌های یک‌بارمصرف پیامکی باشد یا راهکارهای پیشرفته‌ی بایومتریکس (اثر انگشت ، اسکنر چشم و…). الکس وِینرت، مدیر «کارگروه حفاظت و امنیت هویت» در مایکروسافت می‌گوید:

براساس تحقیقات ما، اگر از احراز هویت چندعاملی استفاده کنید، ۹۹٫۹ درصد کمتر در معرض خطر خواهید بود.

گذرواژه دیگر اهمیتی ندارد
وینرت می‌گوید توصیه‌های قدیمی مثل «استفاده نکردن از گذرواژه‌های قبلاً افشاءشده در رخنه‌های امنیتی» یا «استفاده از رمزهای بسیار طولانی» واقعاً دیگر کمکی نمی‌کند.

حرف او حتما دلیل محکمی دارد؛ زیرا وِینرت یکی از همان مهندسان مایکروسافت است که سال ۲۰۱۶ استفاده از موارد موجود در فهرست گذرواژه‌های افشاءشده در اکتیو دایرکتوی آژور را ممنوع کرد و از کاربرانی که قصد استفاده از این گذرواژه‌ها را داشتند، خواست تا آن را تغییر بدهند.

اما وینرت می‌گو‌ید باوجود جلوگیری از استفاده از گذرواژه‌های افشا‌شده یا آسان، در سالیان بعد هم هکرها توانستند به همان مقدار حساب کاربری کاربران را به خطر بیندازند. وی این مسئله را به این دلیل می‌داند که دیگر پیچیدگی گذرواژه‌ها اهمیتی ندارد.

امروزه هکرها از روش‌های متفاوتی برای دستیابی به رمز کاربران بهره می‌برند که در اغلب این روش‌ها خود پسورد اهمیتی ندارد.

با درنظر گرفتن بیش از ۳۰۰ میلیون تلاش روزانه برای نفوذ به حساب کاربران خدمات ابری مایکروسافت، وی معتقد است درصورت استفاده از روش‌های احراز هویت چندعاملی دربرابر ۹۹٫۹ درصد از این حملات مصون خواهید بود حتی اگر حمله‌کننده به رمز شما دست یافته باشد.

یک دهم درصد باقی‌مانده نیز مربوط به حملات پیچیده‌تری است که از راهکارهای فنی توکِن‌های احراز هویت چندعاملی بهره می‌برند. اما این حملات هنوز هم در مقایسه با حملات گروهی بات‌نتی استخراج رمزها بسیار نادر است.

ادعای مایکروسافت درخصوص جلوگیری از ۹۹٫۹ درصد حملات با استفاده از احراز هویت چندعاملی تنها ادعا از این دست نیست. ماه مه گذشته، گوگل اعلام کرد کاربرانی که شماره تلفن بازیابی حساب‌ کاربری را به حساب گوگل خود اضافه کرده‌اند هم (احراز هویت چندعاملی مبتنی بر پیامک) درواقع امنیت حساب کاربری خود را افزایش داده‌اند:

بررسی‌های ما نشان می‌دهدکه حتی اضافه کردن یک شماره تلفن بازیابی رمز به حساب گوگل می‌تواند دربرابر صددرصد بات‌های خودکار، ۹۹ درصد از حملات فیشینگ گسترده و ۶۶ درصد از حملات مشخص به یک حساب خاص بازدارنده باشد.

وقتی گوگل و مایکروسافت هردو یک چیز را پیشنهاد می‌دهند، یعنی زمان مناسبی برای عمل کردن به این توصیه است.