Microsoft ha descubierto que 44 millones de cuentas de usuario utilizan nombres de usuario y contraseñas que se han filtrado a través de brechas de seguridad.
Como informa ZDNet, los inicios de sesión de cuentas vulnerables se descubrieron cuando el equipo de investigación de amenazas de Microsoft llevó a cabo un análisis de todas las cuentas de Microsoft entre enero y marzo de este año.
Las cuentas se compararon con una base de datos de más de tres mil millones de conjuntos de credenciales filtradas y resultaron en 44 millones de coincidencias.
Estas cuentas se distribuyeron entre las cuentas de usuario habituales utilizadas por los consumidores (cuentas de servicios de Microsoft) y las cuentas empresariales en forma de inicios de sesión de Microsoft Azure AD.
En respuesta, Microsoft explicó: "Para las credenciales filtradas para las que encontramos una coincidencia, forzamos un restablecimiento de contraseña.
No se requiere ninguna acción adicional por parte del consumidor ...
En el lado empresarial, Microsoft elevará el riesgo del usuario y alertará al administrador para que se pueda aplicar un restablecimiento de credenciales ".
Microsoft continúa recomendando que, "Dada la frecuencia con la que varias personas reutilizan las contraseñas, es fundamental respaldar su contraseña con algún tipo de credencial sólida.
La autenticación multifactor (MFA) es un mecanismo de seguridad importante que puede mejorar drásticamente su postura de seguridad.
Nuestras cifras muestran que el 99,9% de los ataques de identidad se han frustrado activando MFA ".
Elegir una contraseña es siempre un compromiso entre lo que es memorable y lo que es fuerte, por lo que usar un administrador de contraseñas tiene tanto sentido.
Pero tenemos otro problema: las violaciones de seguridad exponen las contraseñas y nadie debería usarlas.
Recomendado por nuestros editores
Si bien Microsoft hizo lo correcto al restablecer las contraseñas de estas cuentas, actualmente no puede evitar que un usuario seleccione una nueva contraseña que también ha sido expuesta como parte de una violación de seguridad pasada.
Un siguiente paso positivo sería realizar una verificación cuando se ingresa una contraseña para ver si aparece en una lista de violaciones y, si lo está, rechazarla y solicitar al usuario que elija otra cosa.