Microsoft fandt 44M-konti ved hjælp af brudte adgangskoder

Microsoft har opdaget, at 44 millioner brugerkonti bruger brugernavne og adgangskoder, der er lækket gennem sikkerhedsbrud.

Som ZDNet rapporterer, blev de sårbare kontologins opdaget, da Microsofts trusselforskningsteam gennemførte en scanning af alle Microsoft-konti mellem januar og marts i år.

Regnskaberne blev sammenlignet med en database med over tre milliarder sæt lækkede legitimationsoplysninger og resulterede i 44 millioner kampe.

Disse konti blev spredt mellem almindelige brugerkonti, der blev brugt af forbrugere (Microsoft Services-konti), og virksomhedskonti i form af Microsoft Azure AD-login.

Som svar forklarede Microsoft: "For de lækkede legitimationsoplysninger, som vi fandt et match for, tvinger vi en nulstilling af adgangskoden.

Ingen yderligere handling er påkrævet på forbrugersiden ...

På virksomhedssiden hæver Microsoft brugerrisikoen og advarer administrator, så en nulstilling af legitimationsoplysninger kan håndhæves.

"

Microsoft fortsætter med at anbefale, "I betragtning af hyppigheden af ??adgangskoder, der genbruges af flere individer, er det vigtigt at bakke dit kodeord med en eller anden form for stærk legitimationsoplysninger.

Multi-Factor Authentication (MFA) er en vigtig sikkerhedsmekanisme, der dramatisk kan forbedre din sikkerhedsstillinger.

Vores tal viser, at 99,9% af identitetsangreb er blevet modarbejdet ved at tænde MFA.

"

At vælge en adgangskode er altid en afvejning mellem hvad der er mindeværdigt og hvad der er stærkt, og det er derfor, at bruge en adgangskodeadministrator giver så meget mening.

Men vi har et andet problem: sikkerhedsbrud udsætter adgangskoder, og de bør ikke bruges af nogen.

Mens Microsoft gjorde det rigtige med at nulstille adgangskoderne på denne konto, kan det i øjeblikket ikke stoppe en bruger med at vælge en ny adgangskode, der også er blevet eksponeret som en del af et tidligere sikkerhedsbrud.

Et positivt næste skridt ville være at udføre en kontrol, når en adgangskode indtastes for at se, om den vises på en overtrædelsesliste, og hvis den er, at afvise den og anmode brugeren om at vælge noget andet.

Microsoft har opdaget, at 44 millioner brugerkonti bruger brugernavne og adgangskoder, der er lækket gennem sikkerhedsbrud.

Som ZDNet rapporterer, blev de sårbare kontologins opdaget, da Microsofts trusselforskningsteam gennemførte en scanning af alle Microsoft-konti mellem januar og marts i år.

Regnskaberne blev sammenlignet med en database med over tre milliarder sæt lækkede legitimationsoplysninger og resulterede i 44 millioner kampe.

Disse konti blev spredt mellem almindelige brugerkonti, der blev brugt af forbrugere (Microsoft Services-konti), og virksomhedskonti i form af Microsoft Azure AD-login.

Som svar forklarede Microsoft: "For de lækkede legitimationsoplysninger, som vi fandt et match for, tvinger vi en nulstilling af adgangskoden.

Ingen yderligere handling er påkrævet på forbrugersiden ...

På virksomhedssiden hæver Microsoft brugerrisikoen og advarer administrator, så en nulstilling af legitimationsoplysninger kan håndhæves.

"

Microsoft fortsætter med at anbefale, "I betragtning af hyppigheden af ??adgangskoder, der genbruges af flere individer, er det vigtigt at bakke dit kodeord med en eller anden form for stærk legitimationsoplysninger.

Multi-Factor Authentication (MFA) er en vigtig sikkerhedsmekanisme, der dramatisk kan forbedre din sikkerhedsstillinger.

Vores tal viser, at 99,9% af identitetsangreb er blevet modarbejdet ved at tænde MFA.

"

At vælge en adgangskode er altid en afvejning mellem hvad der er mindeværdigt og hvad der er stærkt, og det er derfor, at bruge en adgangskodeadministrator giver så meget mening.

Men vi har et andet problem: sikkerhedsbrud udsætter adgangskoder, og de bør ikke bruges af nogen.

Mens Microsoft gjorde det rigtige med at nulstille adgangskoderne på denne konto, kan det i øjeblikket ikke stoppe en bruger med at vælge en ny adgangskode, der også er blevet eksponeret som en del af et tidligere sikkerhedsbrud.

Et positivt næste skridt ville være at udføre en kontrol, når en adgangskode indtastes for at se, om den vises på en overtrædelsesliste, og hvis den er, at afvise den og anmode brugeren om at vælge noget andet.