Microsoft Internal Security Audit of Threat Assessment onthult extreem slechte wachtwoordhygiëne van 'miljoenen' gebruikers
Microsoft heeft onlangs zijn eigen onafhankelijke beveiligingsaudit voor dreigingsevaluatie uitgevoerd en de resultaten waren schokkend. De maker van het Windows-besturingssysteem, die ook verschillende andere cloudgebaseerde services aanbiedt, realiseerde zich dat "miljoenen" gebruikers extreem slechte wachtwoordhygiëne toepassen. Met andere woorden, een groot aantal gebruikers hergebruikt inloggegevens, waardoor het extreem gemakkelijk wordt voor hackers en kwaadwillende instanties om ongeautoriseerde toegang te verkrijgen via legitieme inlogtechnieken.
Microsoft heeft tussen januari en maart van dit jaar een dreigingsanalyse uitgevoerd van zowel haar diensten als de gebruikers van deze diensten. Het bedrijf zegt geschokt te zijn door de resultaten van de private en interne veiligheidsaudit. Hoewel de veelheid aan Microsoft-services inherent veilig en goed beschermd is, zijn het de gebruikers die onvoorzichtig lijken te zijn met beveiliging en veiligheidsprotocollen met hun gegevens. Volgens het Microsoft Threat Research-team hergebruiken miljoenen gebruikers hun wachtwoord achteloos op de diensten van Microsoft.
Drie miljard Microsoft-accounts geanalyseerd met schokkende onthullingen over wachtwoorden en online veiligheidsprotocollen:
Als een voortdurende inspanning om de veiligheid van gebruikers en diensten die Microsoft biedt te versterken, heeft het bedrijf meer dan 3 miljard accounts en inloggegevens gecontroleerd. Schokkend genoeg hadden 44 miljoen Microsoft-services en Azure AD-accounts identieke of overeenkomende inloggegevens. Dit geeft duidelijk aan dat gebruikers hun inloggegevens op meerdere platforms achteloos hergebruikten.
Wat nog zorgwekkender is, is dat Microsoft een enorm aantal ontdekte van de 3 miljard accounts die werden gecontroleerd, is online gelekt. Dit heeft Microsoft er routinematig toe aangezet om een wachtwoordreset af te dwingen om ervoor te zorgen dat de accounts beschermd waren tegen digitaal misbruik. Als gevolg hiervan hebben verschillende gebruikers van Microsoft-services routinematig meldingen en e-mails ontvangen die hen hebben geïnformeerd over het opnieuw instellen van de inloggegevens. Onder dergelijke omstandigheden wordt gebruikers geadviseerd om een inlogprocedure te volgen waarbij het eigendom van de accounts wordt bevestigd.
Het andere belangrijke aspect dat Microsoft ontdekte, was dat 30 procent van de hergebruikte of gewijzigde wachtwoorden binnen slechts 10 keer raden kan worden gekraakt. Onnodig toe te voegen, dit stelt hackers in staat om een inbreuk-replay-aanval uit te voeren. Simpel gezegd, zodra hackers in staat zijn om ongeoorloofde toegang te verkrijgen via legitieme inloggegevens, proberen ze vergelijkbare inloggegevens te gebruiken om ook in andere accounts in te breken. Onnodig te vermelden dat dergelijke aanvallen met een slechte wachtwoordhygiëne een zeer hoge kans op succes hebben.
Hoe online accounts te beschermen tegen hackpogingen?
Het meest essentiële aspect van online beveiliging is het gebruik van unieke inloggegevens voor elk platform. Zelfs als Microsoft meerdere services aanbiedt, is het van cruciaal belang dat gebruikers voor elke service een ander wachtwoord invoeren. Dit verkleint het risico op een replay-aanval door inbreuk aanzienlijk.
De andere methode, die moet worden gebruikt in combinatie met sterke en unieke wachtwoorden, is de Two Factor Authentication (2FA). Microsoft beweert dat 99 procent van de aanvallen kan worden voorkomen door gebruik te maken van Multi-Factor Authentication. Overigens biedt Microsoft gebruikers wel de mogelijkheid om unieke gebruikersnamen aan te maken in plaats van te vertrouwen op de e-mail-ID. Dit geeft gebruikers nog een andere methode om een aanval af te schrikken.