A autenticação em dois passos pode não ser infalível, mas é um dos métodos mais eficientes para proteger qualquer tipo de serviço conectado na atualidade. Mas uma informação revelada pela Microsoft na conferência de segurança RSA realizada na semana passada deixou muito claro que a grande maioria das pessoas sequer considera utilizar tal método para proteger suas contas.
De acordo com a Microsoft, nada menos que 99,9% das contas que foram comprometidas com vazamentos de dados não contavam com a proteção adicional da autenticação em dois passos. E esse número é muito sério, considerando que a Microsoft registra mais de 30 bilhões de inícios de sessão todos os dias, com mais de 1 bilhão de usuários ativos por mês.
O estudo conclui que as contas comprometidas no âmbito geral em janeiro de 2020 foi de 0,5%, ou 1.2 milhão de usuários. Desse grupo, 99,9% não utilizava a autenticação em dois passos. Já no âmbito empresarial, apenas 11% dos usuários contam com dupla autenticação ativada.
Acredite: os dois passos melhoram e muito a sua segurança
Não estamos falando de blindagem de conta, mas entre ter uma barreira inicial de defesa e não se proteger de forma alguma, nem é preciso dizer que a primeira opção é muito melhor. A autenticação em dois passos consegue barrar a maioria dos ataques automáticos de contas, e é um dos meios mais eficientes para se proteger de um acesso ilegítimo.
É esse tipo de barreira que fez com que os ataques de força bruta se tornassem obsoletos, ao mesmo tempo que o password spraying (o teste de uma senha qualquer com uma lista de nomes de usuário e senha até que o cibercriminoso acerta a combinação) se tornou mais popular. Sem falar na repetição de uma senha vazada em outros serviços, algo que também ganhou muita força nos últimos tempos.
Esse último tipo de ataque mostra como o sistema de gerenciamento de senhas da maioria dos usuários é algo bem débil. Segundo a Microsoft, aproximadamente 60% dos usuários reutilizam as senhas de um serviço em outros serviços (ou vários outros serviços), sem falar nas pessoas que reutilizam as suas contas empresariais em ambientes não empresariais (em casa, no WiFi aberto do shopping, em aeroportos, etc).
Sobre isso, a Microsoft afirma que a grande maioria dos ataques do tipo password spraying são voltados para protocolos de autenticação mais antigos, especialmente os protocolos de e-mail (SMTP, IMAP, POP, etc). Por isso que a empresa e outros especialistas em segurança online insistem na ativação e uso da autenticação em dois passos, já que a mesma não se restringe a um único fator de segurança, ou um único método de verificação de conta.
Para ser mais específico sobre o potencial das ameaças, 99% dos ataques via password spraying e 97% dos ataques de repetição de senhas acontecem pelos protocolos de autenticação herdados. Justamente aqueles que não suportam métodos de autenticação de dois passos. Por isso, a Microsoft recomenda o uso desse método de segurança, que consegue reduzir a eficiência dos ataques em 67% quando os protocolos de autenticação herdados são desabilitados.
Acho que os números falam por si. E contra números, não existem argumentos. É muito melhor se prevenir do que remediar.
Via ZDNet