Enligt säkerhetspersonal från Microsoft kan tvåstegsverifiering skydda mot upp till 99,9 procent av alla automatiserade attacker som fokuserar på att ta reda på dina inloggningsuppgifter.
Ett nytt blogginlägg från Alex Weinert hos Microsoft fokuserar på att diskutera användarlösenord och deras faktiska betydelse när det kommer till att skydda konton mot attacker från utomstående. Weinert menar att lösenords faktiska vikt är minimal och att användare som väljer att nyttja tvåstegsverifiering löper 99,9 procent mindre risk att falla offer för attacker som siktar in sig på att ta över användarkonton.
Resterande 0,1 procent är attacker där mer sofistikerade attacker utförs. Medans merparten av attackerna är botnät och dylikt som använder sig av tekniker som “lösenordsspray” för att försöka gissa sig fram till användares lösenord.
Weinert nämner i blogginlägget hur regler som att använda lösenord med en viss längd eller rimmande meningar som lösenord faktiskt inte gör någon större skillnad. Dessa är enligt honom endast en distraktion.
“Your password doesn’t matter except for password spray (avoid the top guessed passwords with a dictionary checker of some kind) or brute force (use more than 8 characters, or use a password manager if you are *really* nervous). That’s not to say your password isn’t terrible. It’s *definitely* terrible, given the likelihood that it gets guessed, intercepted, phished, or re-used.
Your password doesn’t matter, but MFA does! Based on our studies, your account is more than 99.9% less likely to be compromised if you use MFA.” – Alex Weinert, Microsoft.
Google känner likadant
Tidigare i år har Google yttrat sig om tvåstegsverifiering. Under maj månad menade teknikjätten att upp till 100 procent av attacker utförda av automatiserade botnät, 96 procent av stora phishing-attacker och 76 procent av riktade attacker kunde förhindras med tvåstegsverifiering. Detta med hjälp av verifieringskoder som skickas till användare via SMS.
“If you’ve signed into your phone or set up a recovery phone number, we can provide a similar level of protection to 2-Step Verification via device-based challenges. We found that an SMS code sent to a recovery phone number helped block 100% of automated bots, 96% of bulk phishing attacks, and 76% of targeted attacks. On-device prompts, a more secure replacement for SMS, helped prevent 100% of automated bots, 99% of bulk phishing attacks and 90% of targeted attacks.” – Google.
Googles undersökning visar att tvåstegsverifiering i form av en kod som skickas till användare via SMS är ett bra sätt att förhindra kontostölder. Ännu säkrare är tvåstegsverifiering i form av dedikerade applikationer för till exempel smartphones som endast används i syftet att verifiera ens kontobehörighet. Med denna typ av skydd steg steg skyddet mot phising-attacker till 99 procent och riktade attacker från 76 till 90 procent.
Hur man än vrider och vänder på det har både Microsoft och Google, två företag som dagligen ser hiskeliga mängder attackförsök, lovordat tvåstegsverifiering. Något som kan indikera att det är väl värt att överväga denna form av skydd för sina konton. Inte bara hos respektive företags tjänster, utan överallt där denna form av skydd finns tillgängligt.