L’auditoria de seguretat interna de Microsoft de l’avaluació de les amenaces revela una higiene de contrasenya extremadament deficient de ‘milions’ d’usuaris

Il·lustració de xifratge

Recentment, Microsoft va dur a terme la seva pròpia auditoria de seguretat independent per avaluar les amenaces i els resultats van ser impactants. El fabricant de sistemes operatius Windows que també ofereix diversos altres serveis basats en el núvol es va adonar que 'milions' d'usuaris practiquen una higiene de contrasenyes extremadament deficient. Dit d’una altra manera, un gran nombre d’usuaris reutilitzen les credencials d’inici de sessió, cosa que facilita als pirates informàtics i a les agències malicioses l’entrada no autoritzada mitjançant tècniques d’inici de sessió legítimes.

Microsoft va realitzar una avaluació de les amenaces dels seus serveis i dels usuaris d’aquests serveis entre gener i març d’aquest any. La companyia afirma que va quedar impactada pels resultats de l'auditoria de seguretat privada i interna. Tot i que la multitud de serveis de Microsoft és intrínsecament segura i ben protegida, són els usuaris els que semblen descuidar els protocols de seguretat amb les seves dades. Segons l’equip de recerca sobre amenaces de Microsoft , milions d’usuaris reutilitzen descuidadament les seves contrasenyes als serveis de Microsoft.

Tres milions de comptes de Microsoft analitzats amb revelacions impactants sobre la contrasenya i els protocols de seguretat en línia:

Com a esforç continuat per reforçar la seguretat dels usuaris i els serveis que ofereix Microsoft, la companyia va comprovar més de 3.000 milions de comptes i credencials d’inici de sessió. Sorprenentment, 44 milions de serveis de Microsoft i comptes d'Azure AD tenien credencials d'inici de sessió idèntiques o coincidents. Això indica clarament que els usuaris reutilitzaven les seves credencials d'inici de sessió de manera descuidada en diverses plataformes.

Restabliment forçat: Microsoft troba 44 milions d'usuaris de contrasenyes insegures - https://t.co/3txQQis1UG - #únic #microsoft #seguretat # contrasenya #passworter # contrasenya pic.twitter.com/YsNoA17nEf Traduït amb #MicrosoftFlow

- Daniel Villamizar (@CSA_DVillamizar) 6 de desembre de 2019

seculauncher no ha pogut iniciar l'aplicació 2000

El que encara és més preocupant és que Microsoft va descobrir una gran quantitat dels 3.000 milions de comptes que van ser auditats, es va filtrar en línia . Això ha provocat rutinàriament que Microsoft obligui a restablir la contrasenya per garantir que els comptes estiguessin protegits contra l'abús digital. Com a resultat, diversos usuaris dels serveis de Microsoft han rebut rutinàriament notificacions i correus electrònics que els han informat sobre les credencials d'inici de sessió que s'estan restablint. En aquestes circumstàncies, es recomana als usuaris que segueixin un procediment d'inici de sessió que implica confirmar la propietat dels comptes.

L'altre aspecte important que Microsoft va descobrir va ser que el 30 per cent de les contrasenyes reutilitzades o modificades es poden trencar en només deu suposicions. No cal afegir-ho, això permet als pirates informàtics implementar un atac de repetició d’incompliments. En poques paraules, un cop els pirates informàtics poden obtenir una entrada no autoritzada amb èxit mitjançant dades d’inici de sessió legítimes, intenten utilitzar credencials similars per entrar en altres comptes. No cal mencionar que, amb una higiene deficient de contrasenya, aquests atacs tenen una probabilitat d’èxit molt elevada.

Microsoft: 44 milions de comptes de Microsoft utilitzen contrasenyes filtrades https://t.co/LvmbOKb3nd pic.twitter.com/cPFdVloAuz

- Jorgen Hauge (@Jorgenhauge) 6 de desembre de 2019

Com protegir els comptes en línia dels intents de pirateria?

L’aspecte més essencial de la seguretat en línia és utilitzar credencials d’inici de sessió úniques per a cada plataforma. Fins i tot si Microsoft ofereix diversos serveis, és fonamental que els usuaris introdueixin una contrasenya diferent per a cada servei. Això redueix significativament el risc d'un atac de reproducció incomplida.

Si no les contrasenyes, què? '

Google i Microsoft han parlat d’un futur sense contrasenya, però, què significa això i la tecnologia està preparada per fer-ho realitat aviat? pic.twitter.com/mKeP3E10fB

- breizh2008 (@ breizh2008) 6 de desembre de 2019

L’altre mètode, que s’ha d’utilitzar conjuntament amb contrasenyes fortes i úniques, és l’autenticació de dos factors (2FA). Microsoft afirma que es pot prevenir el 99% dels atacs mitjançant l’autenticació multifactor. Per cert, Microsoft ofereix als usuaris la possibilitat de crear noms d’usuari únics en lloc de confiar en l’identificador de correu electrònic. Això permet als usuaris un altre mètode per dissuadir un atac.