Audit Keamanan Internal Microsoft Terhadap Penilaian Ancaman Mengungkapkan Kebersihan Kata Sandi yang Sangat Buruk Dari 'Jutaan' Pengguna
Microsoft baru-baru ini melakukan audit keamanan independennya sendiri untuk penilaian ancaman, dan hasilnya mengejutkan. Pembuat OS Windows yang juga menawarkan beberapa layanan berbasis cloud lainnya menyadari bahwa "jutaan" pengguna mempraktikkan kebersihan sandi yang sangat buruk. Dengan kata lain, sejumlah besar pengguna menggunakan kembali kredensial login, sehingga sangat mudah bagi peretas dan agensi jahat untuk mendapatkan entri tidak sah melalui teknik login yang sah.
Microsoft melakukan penilaian ancaman terhadap layanannya serta pengguna layanan ini antara Januari dan Maret tahun ini. Perusahaan mengklaim terkejut dengan hasil audit keamanan swasta dan internal. Sementara banyak layanan Microsoft secara inheren aman dan terlindungi dengan baik, penggunalah yang tampaknya ceroboh tentang protokol keamanan dan keselamatan dengan datanya. Menurut tim peneliti ancaman Microsoft, jutaan pengguna menggunakan kembali sandi mereka secara sembarangan di layanan Microsoft.
Tiga Miliar Akun Microsoft Dianalisis Dengan Wahyu Mengejutkan Tentang Kata Sandi Dan Protokol Keamanan Online:
Sebagai upaya berkelanjutan untuk memperkuat keamanan pengguna serta layanan yang ditawarkan Microsoft, perusahaan memeriksa lebih dari 3 miliar akun dan kredensial login. Yang mengejutkan, 44 juta layanan Microsoft dan akun Azure AD memiliki kredensial masuk yang identik atau cocok. Ini dengan jelas menunjukkan bahwa pengguna secara sembarangan menggunakan kembali kredensial login mereka di berbagai platform.
Yang lebih memprihatinkan adalah bahwa Microsoft menemukan banyak sekali dari 3 miliar akun yang diaudit, bocor secara online. Ini secara rutin mendorong Microsoft untuk memaksa pengaturan ulang kata sandi untuk memastikan akun dilindungi dari penyalahgunaan digital. Akibatnya, beberapa pengguna layanan Microsoft secara rutin menerima pemberitahuan dan email yang memberi tahu mereka tentang kredensial masuk yang disetel ulang. Dalam keadaan seperti itu, pengguna disarankan untuk mengikuti prosedur login yang melibatkan konfirmasi kepemilikan akun.
Aspek penting lainnya yang ditemukan Microsoft adalah bahwa 30 persen dari kata sandi yang digunakan kembali atau diubah dapat diretas hanya dalam 10 tebakan. Tidak perlu ditambahkan, ini memungkinkan peretas untuk menyebarkan serangan replay pelanggaran. Sederhananya, begitu peretas berhasil mendapatkan entri tidak sah melalui detail login yang sah, mereka mencoba dan menggunakan kredensial serupa untuk masuk ke akun lain juga. Tak perlu disebutkan, dengan kebersihan kata sandi yang buruk, serangan semacam itu memiliki kemungkinan sukses yang sangat tinggi.
Bagaimana Melindungi Akun Online Dari Upaya Peretasan?
Aspek paling penting dari keamanan online menggunakan kredensial login unik untuk setiap platform. Meskipun Microsoft menawarkan banyak layanan, penting bagi pengguna untuk memasukkan kata sandi yang berbeda untuk setiap layanan. Ini secara signifikan mengurangi risiko serangan replay pelanggaran.
Metode lain, yang harus digunakan bersama dengan kata sandi yang kuat dan unik adalah Two Factor Authentication (2FA). Microsoft mengklaim 99 persen serangan dapat dicegah dengan menggunakan Multi-Factor Authentication. Secara kebetulan, Microsoft memang menawarkan kepada pengguna kemampuan untuk membuat nama pengguna unik alih-alih mengandalkan ID email. Ini memberi pengguna metode lain untuk mencegah serangan.