在此前举行的RSA安全会议上,微软的工程师表示,他们追踪到的被黑客攻击的账户中,有99.9%的用户并没有启用多因素身份认证,但恰恰是这样的认证能够很好地防止账户被攻击。
根据微软的统计,他们每天都需要处理上百亿次的登陆,而这些登陆中平均每个月有0.5%的账户是被黑客入侵的,2020年1月被入侵的账户大约为120万个,这其中多数账户没有多因素身份认证,甚至多数涉及机密的企业账户都没有采取这样的方式。
根据微软的表述,目前黑客攻击用户微软账户的主要方式有两种,一种是采用某个普通且通用的密码(比如:123456这种),然后去匹配大量账户的用户名,如果出现账户和密码匹配,且没有设置多重认证,就能直接登入账户;另一种是黑客攻击了该用户的另一个账户,并获取了密码,就在微软账户上尝试同样的账户名和密码,只要用户有在多平台使用相同的账户密码的习惯,就中招了。
而多因素身份认证是解决这种攻击的主要解决方案,说起来就像很拗口,但其实就是我们现在常见的手机短信验证码这种。现在手机上的生物认证也比较普及了,但是在PC领域,进行多因素身份认证的手段还是不多的,一些如USB密钥这样的物理认证也有一些弊端,不过用户还是尽量添加一项手机认证以保障自己的账户信息和个人数据安全。
