מיקרוסופט גילתה ש-44 מיליון חשבונות משתמשים משתמשים בשמות משתמש וסיסמאות שהודלפו עקב פרצות אבטחה.
כְּמוֹכך מדווח ZDNet, כניסות החשבון הפגיעות התגלו כאשר צוות מחקר האיומים של מיקרוסופט ביצע סריקה של כל חשבונות מיקרוסופט בין ינואר למרץ השנה. החשבונות הושוו למסד נתונים של למעלה משלושה מיליארד סטים של אישורים שהודלפו והביאו ל-44 מיליון התאמות.
חשבונות אלו התפזרו בין חשבונות משתמש רגילים שבהם השתמשו צרכנים (חשבונות Microsoft Services) לבין חשבונות ארגוניים בצורה של התחברות של Microsoft Azure AD. בתגובה,מיקרוסופט הסבירה, "עבור האישורים שהודלפו להם מצאנו התאמה, אנו מאלצים איפוס סיסמה. אין צורך בפעולה נוספת בצד הצרכני... בצד הארגוני, מיקרוסופט תעלה את הסיכון למשתמש ותתריע בפני המנהל כך שתהיה אישור ניתן לאכוף איפוס."
מהירות אור ניתנת לריסוק
מיקרוסופט ממשיכה וממליצה כי, "בהתחשב בתדירות של שימוש חוזר בסיסמאות על ידי אנשים מרובים, זה קריטי לגבות את הסיסמה שלך עם צורה כלשהי של אישור חזק.אימות רב-גורמי (MFA)הוא מנגנון אבטחה חשוב שיכול לשפר באופן דרמטי את עמדת האבטחה שלך. המספרים שלנו מראים ש-99.9% ממתקפות הזהות סוכלו על ידי הפעלת MFA".
ראה גם:
בחירת סיסמה היא תמיד פשרה בין מה שזכור לבין מה שחזק, וזו הסיבהבאמצעות מנהל סיסמאותכל כך הגיוני. אבל יש לנו בעיה נוספת: פרצות אבטחה חושפות סיסמאות ואסור להשתמש בהן על ידי אף אחד.
בעוד שמיקרוסופט עשתה את הדבר הנכון ואיפסה את הסיסמאות בחשבון אלה, היא לא יכולה לעצור כרגע משתמש לבחור סיסמה חדשה שנחשפה גם כחלק מפרצת אבטחה בעבר. הצעד הבא חיובי יהיה לבצע בדיקה כאשר סיסמה מוזנת כדי לראות אם היא מופיעה ברשימת הפרות, ואם כן, לדחות אותה ולבקש מהמשתמש לבחור משהו אחר.
