在上週舉行的RSA 安全會議上，微軟工程師講到，他們每月追踪到的99.9％受感染帳戶都沒有啟用多因素身份驗證（MFA），而該解決方案可以阻止大多數自動帳戶攻擊。根據微軟的數據，他們每天跟踪超過300億次登錄和超過10億的月活用戶。平均每個月約有0.5％的賬戶被盜，在2020年1月，這一數字具體約為120萬。

當企業賬戶被攻擊時，情況將會更糟。微軟表示，截至2020 年1 月，在這些高度敏感的帳戶中，只有11％ 啟用了多因素身份驗證（MFA）解決方案。

多數Microsoft 帳戶被黑客入侵的主要來源是密碼噴灑（password spraying），攻擊者通常會選擇比較容易猜測的密碼，挨個賬戶進行破解嘗試，然後使用第二個密碼依次嘗試攻擊，以此類推。

第二種主要的攻擊方式是密碼重放（password replays），也就是使用一套被洩露的數據，在另外一個平台嘗試登入，如果用戶在不同平台重複使用相同的賬號密碼就會中招。

微軟身份和安全架構師 Lee Walker 指出，60％ 的用戶會重複使用密碼，最好不要這樣混淆，企業和非企業環境中的賬戶也應區分開來。

上述兩類攻擊基本都是針對較舊的身份驗證協議進行的，例如SMTP、IMAP、POP 等，主要原因是這些舊式身份驗證協議不支持MFA 解決方案，於是非常容易被黑客利用。

Walker 提醒那些使用舊式身份驗證協議的組織，應當立即將其禁用。微軟的數據顯示，禁用了舊協議的租戶，賬戶被入侵率下降了67%。

此外，微軟建議，每個組織都應優先考慮為用戶帳戶啟用MFA 解決方案，“這樣可以阻止99.9％ 的帳戶被黑客入侵。”

消息來源：ZDNet