Microsoft hat festgestellt, dass 44 Millionen Benutzerkonten Benutzernamen und Kennwörter verwenden, die durch Sicherheitsverletzungen verloren gegangen sind.
Wie ZDNet berichtet, wurden die Anmeldungen für anfällige Konten entdeckt, als das Microsoft-Team für Bedrohungsforschung zwischen Januar und März dieses Jahres einen Scan aller Microsoft-Konten durchführte.
Die Konten wurden mit einer Datenbank mit über drei Milliarden durchgesickerten Anmeldeinformationen verglichen und führten zu 44 Millionen Übereinstimmungen.
Diese Konten wurden zwischen regulären Benutzerkonten, die von Verbrauchern verwendet werden (Microsoft Services-Konten), und Unternehmenskonten in Form von Microsoft Azure AD-Anmeldungen verteilt.
Als Antwort erklärte Microsoft: "Für die durchgesickerten Anmeldeinformationen, für die wir eine Übereinstimmung gefunden haben, erzwingen wir ein Zurücksetzen des Kennworts.
Auf der Verbraucherseite sind keine zusätzlichen Maßnahmen erforderlich ...
Auf der Unternehmensseite erhöht Microsoft das Benutzerrisiko und alarmiert die Administrator, damit ein Zurücksetzen der Anmeldeinformationen erzwungen werden kann.
"
Microsoft empfiehlt weiter: "Angesichts der Häufigkeit, mit der Kennwörter von mehreren Personen wiederverwendet werden, ist es wichtig, dass Sie Ihr Kennwort mit einem starken Berechtigungsnachweis versehen.
Die Multi-Factor-Authentifizierung (MFA) ist ein wichtiger Sicherheitsmechanismus, der Ihre Kennwörter erheblich verbessern kann." Sicherheitslage.
Unsere Zahlen zeigen, dass 99,9% der Identitätsangriffe durch das Einschalten von MFA vereitelt wurden.
"
Das Auswählen eines Passworts ist immer ein Kompromiss zwischen dem, was einprägsam ist und dem, was stark ist.
Deshalb ist die Verwendung eines Passwort-Managers so sinnvoll.
Wir haben jedoch ein anderes Problem: Sicherheitsverletzungen legen Passwörter offen und sollten von niemandem verwendet werden.
Empfohlen von unseren Redakteuren
Microsoft hat zwar das Richtige getan, um die Kennwörter für dieses Konto zurückzusetzen, kann jedoch derzeit einen Benutzer nicht davon abhalten, ein neues Kennwort auszuwählen, das auch im Rahmen einer früheren Sicherheitsverletzung offengelegt wurde.
Ein positiver nächster Schritt wäre, eine Überprüfung durchzuführen, wenn ein Kennwort eingegeben wird, um festzustellen, ob es in einer Verstoßliste aufgeführt ist, und es gegebenenfalls abzulehnen und den Benutzer aufzufordern, etwas anderes auszuwählen.