Doppia autenticazione

Il 99,9% degli account Microsoft hackerati non utilizza la 2FA

L'autenticazione a 2 fattori è attualmente il sistema più sicuro per proteggere i propri account. Secondo una ricerca, la maggior parte degli account Microsoft non utilizza questo sistema di protezione
Il 99,9% degli account Microsoft hackerati non utilizza la 2FA FASTWEB S.p.A.

L'autenticazione a due fattori (2FA) è il metodo più efficace per prevenire l'accesso non autorizzato a un account online. Se non ne siete convinti, date un'occhiata a questi numeri strabilianti di Microsoft. Nel febbraio 2020, Microsoft ha tenuto una presentazione alla conferenza RSA dal titolo "Breaking Password Dependencies: Challenges in the Final Mile at Microsoft". L'intera presentazione è stata incentrata sulla protezione degli account, e i numeri presentati sono stati sorprendenti.

Microsoft traccia mensilmente oltre 1 miliardo di account attivi, che rappresentano quasi 1/8 della popolazione mondiale. Questi generano oltre 30 miliardi di eventi di accesso mensili. Ogni accesso a un account aziendale Office 365 può generare più voci di accesso su più app, nonché eventi aggiuntivi per altre app che utilizzano lo stesso accesso singolo. Se questo numero sembra enorme, consideate anche che Microsoft interrompe ogni giorno 300 milioni di tentativi di accesso fraudolento. E non all'anno o al mese, ma 300 milioni al giorno.

Nel gennaio 2020, 480.000 account Microsoft - 0,048 percento di tutti gli account Microsoft - sono stati compromessi da attacchi a pioggia. Questo succede quando un utente malintenzionato esegue una password di uso comune (come "Estate2020!") su elenchi di migliaia di account, nella speranza che alcuni di questi abbiano usato quella password comune. Gli attacchi a pioggia sono solo una forma di attacco; altri centinaia e migliaia sono stati causati dal riempimento delle credenziali. Per perpetuare questi, l'attaccante acquista nomi utente e password sul deep web e li prova su altri sistemi.

Poi c'è il phishing, che avviene quando un utente malintenzionato vi convince ad accedere a un sito web falso per ottenere la password. Questo metodo è ancora il migliore per hackerare gli account online.

Complessivamente, oltre 1 milione di account Microsoft sono stati violati a gennaio. Sono poco più di 32.000 account compromessi al giorno, sui 300 milioni di tentativi di accesso fraudolenti interrotti quotidianamente. Ma il numero più importante di tutti è che il 99,9% di tutte le violazioni degli account Microsoft sarebbe stato fermato se gli utenti avessero abilitato l'autenticazione a due fattori.

Che cos'è l'autenticazione a due fattori?

Come promemoria rapido, l'autenticazione a due fattori (o 2FA) richiede un metodo aggiuntivo per autenticare il vostro account. Tale metodo è spesso un codice di sei cifre inviato direttamente sul vostro telefono tramite SMS o generato da un'app. Digitare quel codice di sei cifre diventa quindi parte della procedura di accesso per il vostro account.

L'autenticazione a due fattori è un tipo di autenticazione a più fattori (MFA). Esistono anche altri metodi MFA, tra cui token USB fisici collegati al dispositivo o scansioni biometriche dell'impronta digitale o dell'occhio. Tuttavia, un codice inviato sul telefono è di gran lunga il sistema più comune.

Tuttavia, l'autenticazione a più fattori è un termine generico: un account, per essere ancora più al sicuro, dovrebbe richiedere tre fattori anziché due.

Come la 2FA avrebbe fermato le violazioni?

Negli attacchi a pioggia e a riempimento delle credenziali, gli hacker sono già in possesso di una password: devono solo trovare gli account che la utilizzano. Con il phishing, gli aggressori hanno sia la password che il nome del vostro account, il che è ancora peggio.

Se negli account Microsoft che erano stati violati a gennaio fosse stata abilitata l'autenticazione a più fattori, la sola password non sarebbe stata sufficiente. L'hacker avrebbe anche avuto bisogno dell'accesso agli smartphone delle sue vittime per ottenere il codice MFA prima di poter accedere a quegli account. Senza il telefono, l'attaccante non sarebbe stato in grado di accedere agli account e questi non sarebbero stati violati.

Se ritienete che la vostra password sia impossibile da indovinare e pensate di non cascare mai in un attacco di phishing, passiamo ai fatti. Secondo Alex Weinart di Microsoft, la vostra password in realtà non ha molta importanza, quando si tratta di proteggere un account. Questo non vale solo per gli account Microsoft: ogni account online è altrettanto vulnerabile se non utilizza la MFA. Secondo Google, la MFA ha fermato il 100% degli attacchi automatici ai bot (attacchi a pioggia, a riempimento di credenziali e metodi simili).

Secondo una ricerca di Google, solo un metodo, chiamato "Security Key" è risulltato efficace al 100% nell'arresto dei bot automatizzati, degli attacchi phishing e a pioggia. Come funziona la Security Key? Si tratta di un sistema che utilizza un'app installata sul telefono per generare un codice MFA.

Anche il metodo "Codice SMS" è risultato molto efficace, ed è assolutamente meglio che non avere affatto una MFA, ma attraverso un'app è ancora meglio.

Come abilitare la 2FA per tutti i vostri account

Potete abilitare la 2FA o un altro tipo di MFA sulla maggior parte degli account online. Troverete l'impostazione in posizioni diverse per account diversi. In genere, tuttavia, si trova nel menu delle impostazioni dell'account in "Account" o "Sicurezza".

La MFA è il modo più efficace per proteggere i vostri account online. Se non l'avete ancora fatto, prendetevi il ??tempo per attivarla il più presto possibile, specialmente per account critici, come e-mail e servizi bancari.

Fonte: howtogeek.com
Condividi
Ebook
Sicurezza in Rete: cosa c'è da sapere
Scarica subito l'eBook gratuito e scopri cosa bisogna assolutamente sapere per proteggere i propri dispositivi e i propri dati quando si utilizza la Rete
scarica l'ebook
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail