Длина и сложность пароля уже не играют роли для безопасности аккаунта. К такому мнению пришли специалисты Microsoft, проанализировав миллионы попыток взлома пользовательских профилей на своих ресурсах. Как утверждается в посте Алекса Винерта (Alex Wienert), эксперта компании, на первый план вышла двухфакторная аутентификация, которая останавливает до 99,9% автоматизированных атак.

Производитель ссылается на собственное исследование, которое свидетельствует, что чаще всего ИБ-специалисты сталкиваются с кражей учетных данных. Примерно две трети пользователей устанавливают один и тот же пароль на разных сайтах, что делает подстановку данных, также известную как credential stuffing, одним из самых популярных вариантов кибератак.

Также злоумышленники часто прибегают к фишингу и получают секретный ключ, заманив жертву на сайт с вредоносным скриптом. Как и при повторном использовании учетных данных, длина и сложность пароля в этом случае не имеют значения.

Технически сложные методы взлома используются значительно реже, однако тоже мало зависят от надежности ключевой комбинации. В случае перехвата ввода с клавиатуры или компрометации локальной сети киберпреступники получат любые пароли, и только разные варианты брутфорс-атак чувствительны к их длине и сложности.

Многофакторная аутентификация существенно снижает вероятность взлома во всех перечисленных сценариях. Винерт утверждает, что облачные сервисы Microsoft ежедневно регистрируют около 300 млн мошеннических попыток входа. По его мнению, сложные атаки с использованием методов социальной инженерии, способные обойти двухэтапную защиту, встречаются гораздо реже, чем относительно простые и эффективные кампании.

Тем не менее, в июне этого года ИБ-специалисты обнаружили в Google Play вредоносные утилиты, которые перехватывали сообщения с одноразовыми кодами авторизации. Зловреды маскировались под клиентскую программу турецкой криптовалютной биржи BtcTurk. Как выяснили исследователи, киберпреступники нашли способ обойти ограничения на доступ к СМС и истории звонков, установленные в Android.

Категории: Аналитика, Главное, Кибероборона