Microsoft provedl hodnocení hrozeb svých služeb za období od ledna do března tohoto roku. Nutno konstatovat, že výsledky jsou poměrně nepříjemné, avšak pro znalé problematiky jistě ne šokující. Mimo jiné ukázaly, že miliony uživatelů z celého světa používají stejná hesla pro různé služby.
V rámci svého šetření Microsoft zkontroloval více než tři miliardy uniklých přihlašovacích údajů. Ty získal v podobě databáze, poskládané z několika zdrojů, počínaje veřejně dostupnými daty, až po podklady od orgánů činných v trestním řízení.
Stejné heslo pro více služeb?
U 44 milionů záznamů zjistil použití stejných přihlašovacích údajů v rámci více služeb. V blíže nespecifikovaném počtu případů byl zjištěn únik přihlašovacích údajů k účtům Microsoft – v takové situaci společnost vynucovala po uživatelích resetování hesla.
Podobný průzkum probíhal v roce 2018, kdy studie, provedená na více než 30 milionech uživatelů, odhalila, že 52 % opakovaně používá stejné nebo jen mírně upravené přihlašovací údaje. Microsoft dále uvádí, že téměř třetinu hesel, která uživatelé používají opakovaně nebo jen s drobnými modifikacemi, lze velice snadno prolomit.
Nedávno například došlo k obrovskému narušení dat, čítajícímu kolem 773 milionů e-mailových adres a více než 21 milionů hesel. Podle bezpečnostního experta Troye Hunta, stojícího za službou Have I Been Pwned, se jednalo o 87 GB velkou databázi, obsahující záznamy z více než 2000 úspěšných hacků.
Lékem je dvoufaktorové ověřování
Kromě kritického hodnocení neopatrného počínání uživatelů nechybí ve zprávě několik doporučení. Základem je pochopitelně nepoužívat stejné přihlašovací údaje pro více služeb, neboť v případě prolomení či úniku z jedné služby jsou v ohrožení i další účty uživatele. Únik přihlašovacích údajů přitom není ani zdaleka výjimečnou událostí.
Jako nejspolehlivější metodu přihlašování Microsoft prezentuje dvoufaktorové ověřování, sestávající z jedinečného hesla, jedinečného uživatelského jména (pokud je v rámci služby možné zvolit si vlastní) a dalšího bezpečnostního prvku – například ověřovacího kódu, doručovaného na mobilní telefon. Tímto způsobem lze prý zmařit až 99,9 % všech pokusů o neoprávněná přihlášení
Microsoft a další poskytovatelé služeb obvykle při vytváření účtu varují uživatele před používáním slabých nebo jednoduchých hesel. Tato upozornění se ale bohužel nevztahují na opětovné použití přihlašovacích údajů z jiné služby. Zatímco je celkem snadné zkontrolovat, zda heslo splňuje zásady bezpečnosti, prověřit, jestli nebylo použito i jinde, je technicky nemožné.