Koristite li još uvijek istu lozinku ili jednostavne lozinke (registracijske oznake automobila, datume rođendana, ime kućnog ljubimca itd.).? Ako je odgovor potvrdan postoji velika vjerojatnost da ste u 44 milijuna Microsoftovih korisnika čije lozinke posjedu hakeri.

To je oko 1,5 % svih računa koje je Microsoft provjerio u studiji na izloženost potencijalnim rizicima, odnosno koji lebde okolo i  ono su čime se   trguje na dark web tržištima .

Microsoft je skenirao  sve Azure AD i Microsoft Services račune u razdoblju od siječnja do ožujka ove godine i usporedio ih  bazama   podataka od tri milijarde procurjelih  vjerodajnica na   internetu.  Tvrtka je prikupljala podatke o hash-u zaporke iz javnih izvora i dobivala dodatne podatke od agencija za provođenje zakona.  Te su podatke koristili kao osnovu za usporedbu.

Rezultati jasno pokazuju da 44 milijuna  korisnika Microsoftovih usluga i servisa upotrebljavaju istu prijavu na više računa.  Osim toga ponovna upotreba lozinke i izmjene uobičajene su za 52 % korisnika,  dok  30 % izmijenjenih lozinki i svih ponovno korištenih lozinki može se  hakirati unutar samo 10  pokušaja.  To je alarmantno!

Microsoft  upozorava da takvo ponašanje  korisnike stavlja u sigurnosni rizik. Razlog je taj što ako se podaci o prijavi otkriju u jednoj usluzi, oni postaju dovoljni napadaču da    pokuša  upotrijebiti istu lozinku pretpostavljajući isto korisničko ime ili ID e-pošte na drugoj usluzi i izvrši prevaru.

Microsoftovi  savjeti za sigurnost lozinki

Microsoft preporučuju  da se koriste  multifaktorske provjere autentičnosti kako bi se bolje zaštitili naše  korisničke račune od napada.   Nažalost,  dvofaktorsku (2FA ) i višefaktorsku provjera autentičnosti (MFA)   većina korisnika   smatra iritantnim neugodnostima i radije bi ih deaktivirala kad god je to moguće,  iako 99,9 %  identitetskih napada ne uspijeva ako se koristi multifaktorska provjera identiteta. 

Zato nemojte biti nemarni  koliko god vam se čini  da upravljanje lozinkama može biti zamršena stvar, pogotovo sada kada  imate kreirane račune   na toliko usluga na internetu.  Dodali bi da  barem koristite dvofaktorsku provjeru autentičnosti koja dodaje još jedan sloj za sigurnost računa s kodovima koji se mogu generirati bilo slanjem OTP-a na mobilni broj ili upotrebom provjerivača. Osim toga koristite  i jedinstvene lozinke. Jedan od dobrih generatora lozinki je GRC generator.

Kako će Microsoft ublažiti rizike? 

Microsoft   provodi resetiranje zaporki koje su procurile, a  vlasnici  Office, OneDrive ili Xbox računa morat će promijeniti lozinke.   Na korporativnoj razini Microsoft  upozorava IT administratore da  nametnu vraćanje vjerodajnica i nudi alat za zaštitu identiteta Azure Active Directory koji automatizira otkrivanje i saniranje rizika utemeljenih na identitetu, istražuje rizike pomoću podataka na portalu i eksportira podatke o otkrivanju rizika u programe treće strane za daljnju analizu. Uz ove alate administratori mogu i prisiliti korisnike na resetiranje zaporke.