இணையத்தில் கணக்குகளைப் பாதுகாக்க போதுமான பாதுகாப்பு நடவடிக்கைகளை நிறுவுவதன் முக்கியத்துவம் காலப்போக்கில் மட்டுமே அதிகரித்துள்ளது. இங்கே, 2-காரணி அங்கீகாரம் போன்ற தொழில்நுட்பங்கள் முக்கிய பங்கு வகிக்கின்றன.
இருப்பினும், அவ்வப்போது பல்வேறு எச்சரிக்கைகள் விடுக்கப்பட்டாலும், நமது அறியாமை மனப்பான்மை நமது கணக்குகளை சமரசம் செய்கிறது. RSA மாநாட்டில் பேசிய மைக்ரோசாப்ட் அதிகாரிகள், தாங்கள் கண்டறிந்த அனைத்து சமரசம் செய்யப்பட்ட கணக்குகளில் கிட்டத்தட்ட 99.9% பல காரணி அங்கீகார (MFA) முறைகளைக் கொண்டிருக்கவில்லை என்பதை வெளிப்படுத்தியுள்ளனர்.
மைக்ரோசாஃப்ட் கணக்குகள் ஹேக் செய்யப்பட்டன
பொதுவாக, மைக்ரோசாப்ட் ஒரு பில்லியனுக்கும் அதிகமான மாதாந்திர செயலில் உள்ள பயனர்களைக் கொண்டுள்ளது மற்றும் ஒரு நாளைக்கு 30 மில்லியனுக்கும் அதிகமான உள்நுழைவு கோரிக்கைகளைக் கையாளுகிறது. இங்கே, ஒவ்வொரு மாதமும் சமரசம் செய்யப்படும் கணக்குகளின் சதவீதம் சுமார் 0,5% ஆகும். ஜனவரி 2020 இல், இந்த எண்ணிக்கை 1.2 மில்லியன்.
அனைத்து வணிகப் பயனர்களில் 11% பேர் மட்டுமே ஜனவரி மாதத்தில் குறைந்தபட்சம் ஒருமுறை MFAஐப் பயன்படுத்தியுள்ளனர் என்றும் தொழில்நுட்ப வல்லுநர்கள் வெளிப்படுத்தினர். எல்லா நேரத்திலும் MFAஐப் பயன்படுத்தினால், அந்த 1.2 மில்லியன் கணக்குகளில் பலவற்றைச் சேமித்திருக்க முடியாது என்று அவர்கள் குறிப்பிட்டனர்.
இங்கே, தாக்குபவர்களால் அதிகம் பயன்படுத்தப்படும் நுட்பங்கள் "கடவுச்சொல் தெளித்தல்" மற்றும் கடவுச்சொல் நகலெடுப்பு ஆகும். பாஸ்வேர்ட் ஸ்பேரிங்கில், தாக்குபவர் பொதுவாகப் பயன்படுத்தப்படும் கடவுச்சொற்களைப் பயன்படுத்தி பல பயனர் கணக்குகளுக்குள் நுழைய முயற்சிக்கிறார். கடவுச்சொல்லை மீண்டும் வலியுறுத்த, ஹேக்கர் ஒரு சமரசம் செய்யப்பட்ட பயனரின் உள்நுழைவு சான்றுகளை மற்ற சேவைகளுக்கு பயன்படுத்துகிறார்.
இது ஒரு மோசமான பழக்கம் என்றாலும், பலர் இதையே பயன்படுத்துவதைப் பார்க்க முடிகிறது கடவுச்சொல்லை பல்வேறு இடங்களில் மற்றும் ஹேக் செய்யப்படுவதற்கான வாய்ப்புகளை அதிகரிக்கவும்.
தொடங்கப்படாதவர்களுக்கு, ஆன்லைன் கணக்கு அல்லது பிற ஆதாரங்களுக்கான அணுகலை வழங்க பல அடுக்கு நற்சான்றிதழ்களைச் சேர்ப்பதன் மூலம் பல காரணி அங்கீகாரம் நிறுவப்படுகிறது. அதன் அடிப்படை செயலாக்கம் எஸ்எம்எஸ் வழியாக OTP அடிப்படையிலான அங்கீகாரமாக இருக்கலாம், ஆனால் மேம்பட்ட தீர்வுகள் வன்பொருள் அடிப்படையிலான பாதுகாப்பு டோக்கன்களை செயல்படுத்துகின்றன.
தொழில்நுட்ப நிறுவனங்கள் WebAuthn போன்ற தொழில்நுட்பங்களைப் பயன்படுத்தி கடவுச்சொல் இல்லாத உள்நுழைவையும் இலக்காகக் கொண்டுள்ளன.
தாக்குபவர்கள் முதன்மையாக POP மற்றும் SMTP போன்ற பழைய அங்கீகார நெறிமுறைகளை குறிவைப்பதாக தொழில்நுட்ப வல்லுநர்கள் வெளிப்படுத்தினர், ஏனெனில் அவர்கள் MFA ஐ ஆதரிக்கவில்லை. மேலும், ஒரு நிறுவனத்தின் அமைப்புகளில் இருந்து இந்த மரபு நெறிமுறைகளை அகற்றுவது ஒரு கடினமான பணியாகும்.
மரபு அங்கீகார நெறிமுறைகளை முடக்கிய பயனர்களுக்கான சமரசம் செய்யப்பட்ட கணக்குகளில் 67% வரை குறைத்துள்ளனர். எனவே, மரபு அங்கீகாரத்தை கடந்த காலத்தின் ஒரு விஷயமாக மாற்ற மைக்ரோசாப்ட் பரிந்துரைக்கிறது.
வழியாக ZDNet