image

Microsoft: MFA voorkomt 99,9 procent van aanvallen op accounts

woensdag 21 augustus 2019, 11:03 door Redactie, 27 reacties
Laatst bijgewerkt: 22-08-2019, 09:23

Multifactorauthenticatie (MFA), zoals het gebruik van een extra code tijdens het inloggen, voorkomt 99,9 procent van de aanvallen op accounts, zo stelt Microsoft. De softwaregigant laat weten dat het dagelijks meer dan 300 miljoen frauduleuze inlogpogingen op de eigen clouddiensten ziet.

Met name dankzij gestolen, zwakke en hergebruikte wachtwoorden weten aanvallers toegang tot accounts te krijgen. Organisaties kunnen dergelijke aanvallen voorkomen door onveilige wachtwoorden te verbieden, legacy-authenticatie te blokkeren en medewerkers over phishing te trainen. De beste maatregel is echter het inschakelen van MFA, aldus Microsoft.

"Door een extra barrière en beveiligingslaag op te werpen die het zeer lastig maakt voor aanvallers om te omzeilen, kan MFA meer dan 99,9 procent van de aanvallen op accounts blokkeren", zegt Microsofts Melanie Maynes. Organisaties zouden het implementeren van MFA echter uitstellen omdat er wordt gedacht dat dit externe hardware vereist en door gebruikers als een belemmering wordt ervaren.

Volgens Matt Bromiley van SANS hoeft het geen alles-of-nietsaanpak te zijn. "Er zijn verschillende manieren van aanpak die een organisatie kan nemen om de verstoring te beperken terwijl er op een geavanceerde authenticatie wordt overgestapt." Daarbij verwacht Microsoft veel van protocollen zoals WebAuthn en CTAP2, die authenticatie zonder wachtwoorden mogelijk maken. "Wachtwoordloze authenticatie is niet alleen makkelijker voor gebruikers, maar ook zeer lastig en kostbaar voor aanvallers om te compromitteren", aldus Maynes.

Eerder stelde Google al dat een usb-beveiligingssleutel de beste bescherming tegen phishing biedt. Sinds de internetgigant het inloggen op werkaccounts via een dergelijke sleutel heeft verplicht is geen van de meer dan 85.000 Google-medewerkers op zijn of haar werkaccount gephisht.

Reacties (27)
21-08-2019, 12:12 door Anoniem
In het "account kraken"-milieu gezeten en kan het zeker bevestigen. Wel zeker een uniek wachtwoord voor je MFA device/email gebruiken. Soms worden deze ook gecheckt of het wachtwoord hetzelfde is.
21-08-2019, 13:45 door Anoniem
Inderdaad, toch is dit voor veel gebruikers nog te lastig om in te stellen.
21-08-2019, 13:46 door Anoniem
99,9 procent... bold statement... Hoe komt de 0,1 procent dan binnen vraag ik me af :-).
21-08-2019, 14:31 door Bitje-scheef
Het is maar net hoe je tegen een probleem aankijkt...

htt ps://blog.trendmicro.com/the-inside-job-how-hackers-are-stealing-data-from-within/

The report states that around 35 percent of workers would sell private company data if someone offered them the right price. While that number should certainly be alarming to any administrator, the truly frightening part of the report came from how little some people are willing to accept in order to betray their employer.

Take, for instance, the test that was conducted by the U.S. Department of Homeland Security. Officials from the agency went around to multiple governmental buildings and placed flash drives in the parking lots near employee vehicles. The object here was to see how many workers would find the flash drives and plug them into their work computers, thereby risking the safety of their building’s private internal network.

What the agency found was shocking. Around 60 percent of employees went right ahead and connected the devices into their computers without even considering that these flash drives could contain malware. That statistic is high enough as it is, but apparently putting an official company logo on the side of the flash drive increased plug-in rates to 90 percent.

What this shows is that internal leaks don’t have to be the result of greed or disrespect for company administrators. In many cases involving data breaches coming from inside the organization, simple ignorance to proper cyber security best practices is all it takes. Human error is one of the most powerful drivers behind bad events in the workplace, and it’s also very hard to work against.
21-08-2019, 14:53 door Anoniem
Door Anoniem: 99,9 procent... bold statement... Hoe komt de 0,1 procent dan binnen vraag ik me af :-).

Aanval != gelukte aanval.
21-08-2019, 15:06 door Anoniem
Door Anoniem: 99,9 procent... bold statement... Hoe komt de 0,1 procent dan binnen vraag ik me af :-).
Zelfde ww voor MFA device/email ?
21-08-2019, 15:17 door Anoniem
Door Anoniem: 99,9 procent... bold statement... Hoe komt de 0,1 procent dan binnen vraag ik me af :-).
Toegang tot de 2de factor authenticatie?
Gebruikers die toch zomaar approven zonder dat die zelf verantwoorde.
21-08-2019, 15:44 door Anoniem
Door Anoniem: 99,9 procent... bold statement... Hoe komt de 0,1 procent dan binnen vraag ik me af :-).

Met de geluksfactor natuurlijk.
Als er was beweerd dat 100% van de aanvallen was tegengehouden dan had niemand dat geloofd.
Zo zijn we hier in dit forum. 100% veiligheid is onmogelijk.
21-08-2019, 15:57 door Anoniem
Door Anoniem: 99,9 procent... bold statement... Hoe komt de 0,1 procent dan binnen vraag ik me af :-).

Die compromitteren beide factoren.
21-08-2019, 16:02 door spatieman
leuk zo'n usb sleutel als beveiliging.
iedere keer als je van de machine gaat, usb stick eruit halen.
zal de usb poort leuk vinden op ten duur.
kan me herinneren dat HP ooit toetsenborden gemaakt heeft (nog steeds als ik me niet vergis) waar je een smartcard in moest duwen.
21-08-2019, 16:42 door Anoniem
Door spatieman: leuk zo'n usb sleutel als beveiliging.
iedere keer als je van de machine gaat, usb stick eruit halen.
zal de usb poort leuk vinden op ten duur.
kan me herinneren dat HP ooit toetsenborden gemaakt heeft (nog steeds als ik me niet vergis) waar je een smartcard in moest duwen.

Waarom moet je die stick er steeds uithalen?
Het is bedoeld om phishing tegen te gaan. Een phisher gebruikt je machine niet om in te loggen. Hij kan dus ook niet bij die stick. het is vaak ook niet eens meer dan een Yubikey Nano achtige. Daarvan gaan je nagels eerder kapot dan je USB poort. Google gebruikt die dingen voor hun eigen laptops. Plus nog wat extra veiligheidsmaatregelen - misschien is dat de reden dat zij 100% halen. ;-)

Peter
21-08-2019, 18:25 door Anoniem
Door Anoniem:
Door Anoniem: 99,9 procent... bold statement... Hoe komt de 0,1 procent dan binnen vraag ik me af :-).

Aanval != gelukte aanval.

Door Sim-swapping bijvoorbeeld https://www.cybercrimeinfo.nl/cybercrime/sim-swapping

Gr,
Peter
21-08-2019, 20:01 door Anoniem
Wat lastig is bij Microsoft dat is regelen dat MFA voor iedereen in je domein (bestaande en nieuwe gebruikers)
geactiveerd wordt.
De tools die ze in hun admin control panel leveren zijn nogal primitief (of moet je zeggen achterlijk?)

Zo kun je bijvoorbeeld wel een lijst van AL je users krijgen en van je users die MFA hebben, maar NIET een lijst
van je users die GEEN MFA hebben! En omdat die lijst iedere keer maar 20 entries laat zien en dan moet je weer
op volgende klikken en 10 seconden wachten, is het haast niet te doen om snel even te checken wie er geen MFA
hebben. Je moet dan alles langs bladeren en dat zelf checken.
21-08-2019, 20:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: 99,9 procent... bold statement... Hoe komt de 0,1 procent dan binnen vraag ik me af :-).

Aanval != gelukte aanval.

Door Sim-swapping bijvoorbeeld https://www.cybercrimeinfo.nl/cybercrime/sim-swapping

Gr,
Peter

Niet zoveel fantaseren! De gelukte aanvallen kunnen gewoon door "phishing" gedaan zijn.
(iemand bellen dat ie even moet inloggen en de MFA doorlopen)
22-08-2019, 09:10 door Anoniem
99,9%? nice... https://www.youtube.com/watch?v=mN0BOWZw8D4
22-08-2019, 09:37 door Anoniem
Door Anoniem: Wat lastig is bij Microsoft dat is regelen dat MFA voor iedereen in je domein (bestaande en nieuwe gebruikers)
geactiveerd wordt.
De tools die ze in hun admin control panel leveren zijn nogal primitief (of moet je zeggen achterlijk?)

Zo kun je bijvoorbeeld wel een lijst van AL je users krijgen en van je users die MFA hebben, maar NIET een lijst
van je users die GEEN MFA hebben! En omdat die lijst iedere keer maar 20 entries laat zien en dan moet je weer
op volgende klikken en 10 seconden wachten, is het haast niet te doen om snel even te checken wie er geen MFA
hebben. Je moet dan alles langs bladeren en dat zelf checken.

'Learn powershell or learn to flip burgers' had een Mircosoft topman toch eens gezegd?
22-08-2019, 09:55 door Anoniem
Door Anoniem: Wat lastig is bij Microsoft dat is regelen dat MFA voor iedereen in je domein (bestaande en nieuwe gebruikers)
geactiveerd wordt.
De tools die ze in hun admin control panel leveren zijn nogal primitief (of moet je zeggen achterlijk?)

Zo kun je bijvoorbeeld wel een lijst van AL je users krijgen en van je users die MFA hebben, maar NIET een lijst
van je users die GEEN MFA hebben! En omdat die lijst iedere keer maar 20 entries laat zien en dan moet je weer
op volgende klikken en 10 seconden wachten, is het haast niet te doen om snel even te checken wie er geen MFA
hebben. Je moet dan alles langs bladeren en dat zelf checken.
Je weet dat je gegevens kunt exporteren naar csv files vanuit office 365 ?
22-08-2019, 10:01 door Tha Cleaner
Door Anoniem: Wat lastig is bij Microsoft dat is regelen dat MFA voor iedereen in je domein (bestaande en nieuwe gebruikers)
geactiveerd wordt.
De tools die ze in hun admin control panel leveren zijn nogal primitief (of moet je zeggen achterlijk?)

Zo kun je bijvoorbeeld wel een lijst van AL je users krijgen en van je users die MFA hebben, maar NIET een lijst
van je users die GEEN MFA hebben! En omdat die lijst iedere keer maar 20 entries laat zien en dan moet je weer
op volgende klikken en 10 seconden wachten, is het haast niet te doen om snel even te checken wie er geen MFA
hebben. Je moet dan alles langs bladeren en dat zelf checken.
Daarom moet je hiervoor eigenlijk conditional access gebruiken?

En anders powershell? Kan je zoveel meer mee dan in de GUI.
Quick google: https://gallery.technet.microsoft.com/scriptcenter/List-all-Office-365-MFA-ae97c474
22-08-2019, 12:14 door Anoniem
Inderdaad, toch is dit voor veel gebruikers nog te lastig om in te stellen.

Tja, als de systeem architectuur op orde is, heb je weinig keuze. Al laten sommigen graag alle verantwoordelijkheden bij de gebruiker liggen. Sterk wachtwoord kiezen is ook moeilijk voor gebruikers, als zwakke wachtwoorden ook worden toegestaan. Verder moet het natuurlijk zo gebruikersvriendelijk mogelijk, maar wel veilig.
22-08-2019, 12:57 door Bitje-scheef
Microsoft heeft in het verleden een bedrijf opgekocht voor multi-factor authenticatie. Echter tot op de dag van vandaag is de software die dit bedrijf had ontwikkelt nauwelijks aangepast en is de database die gebruikt wordt voor opslag van users in plain text (ongecodeerd).
22-08-2019, 13:21 door Tha Cleaner
Door Bitje-scheef: Microsoft heeft in het verleden een bedrijf opgekocht voor multi-factor authenticatie. Echter tot op de dag van vandaag is de software die dit bedrijf had ontwikkelt nauwelijks aangepast en is de database die gebruikt wordt voor opslag van users in plain text (ongecodeerd).
Je bedoelt hiermee Azure MFA of wat anders?
Want volgens zit hier de opslag in Azure AD en niet in een aparte losse database.
22-08-2019, 14:33 door Bitje-scheef
Door Tha Cleaner:
Door Bitje-scheef: Microsoft heeft in het verleden een bedrijf opgekocht voor multi-factor authenticatie. Echter tot op de dag van vandaag is de software die dit bedrijf had ontwikkelt nauwelijks aangepast en is de database die gebruikt wordt voor opslag van users in plain text (ongecodeerd).
Je bedoelt hiermee Azure MFA of wat anders?
Want volgens zit hier de opslag in Azure AD en niet in een aparte losse database.

Nee, dit is nog voor de gewone Active Directory. Als je de locatie weet wat is alles zo uit te lezen.
22-08-2019, 18:30 door Anoniem
Door Anoniem:
'Learn powershell or learn to flip burgers' had een Mircosoft topman toch eens gezegd?
Ik heb het niet meer zo gevolgd maar in mijn tijd keek Microsoft altijd neer op alles wat commandline was.
Ze hielden dat ook altijd voor aan het management in verkoopgesprekken: nee meneer commandline dat moet je niet
hebben want dan kan alleen die IT expert van u het begrijpen en die gaat binnenkort weg en dan zit u mooi.
Neem onze clickety-click interface dan kan IEDEREEN het!

Maar waarom maken ze die dan zo dom? Wat ook altijd zo leuk is: je kunt wel vanalles zoeken maar dan alleen op
criteria als "is gelijk aan" of "is niet gelijk aan". Wil je bijvoorbeeld alle records zoeken waarbij een bepaald veld leeg
is dan denk je "ok er is geen 'is leeg' maar dan doe ik gewoon 'is gelijk aan' en dan laat ik dat zoekveldje leeg".
Nee, dat werkt niet! Anders kon je wel zoeken naar users waarbij het MFA telefoonnummer leeg is, als 1e benadering
voor users die geen MFA hebben.

Ik begrijp uit een andere reactie dat je het kunt exporteren, zal ik eens naar kijken. In het algemeen heb ik daar slechte
ervaringen mee, als je in AD iets exporteert krijg je meestal ook niet wat je verwacht.
23-08-2019, 12:29 door Tha Cleaner
Door Anoniem:
Door Anoniem:
'Learn powershell or learn to flip burgers' had een Mircosoft topman toch eens gezegd?
Ik heb het niet meer zo gevolgd maar in mijn tijd keek Microsoft altijd neer op alles wat commandline was.
Ze hielden dat ook altijd voor aan het management in verkoopgesprekken: nee meneer commandline dat moet je niet
hebben want dan kan alleen die IT expert van u het begrijpen en die gaat binnenkort weg en dan zit u mooi.
Neem onze clickety-click interface dan kan IEDEREEN het!
Ik heb dit nog nooit Microsoft horen zeggen, zowel bij MKB als bij Enterprise klanten.
Daarnaast als nog niet weet dat powershell de toekomst is, dan heb je de afgelopen 10 jaar het 1 en ander gemist in (Microsoft) IT land.

Maar waarom maken ze die dan zo dom? Wat ook altijd zo leuk is: je kunt wel vanalles zoeken maar dan alleen op
criteria als "is gelijk aan" of "is niet gelijk aan". Wil je bijvoorbeeld alle records zoeken waarbij een bepaald veld leeg
is dan denk je "ok er is geen 'is leeg' maar dan doe ik gewoon 'is gelijk aan' en dan laat ik dat zoekveldje leeg".
Nee, dat werkt niet! Anders kon je wel zoeken naar users waarbij het MFA telefoonnummer leeg is, als 1e benadering
voor users die geen MFA hebben.
bedoel je niet $null? of een -ne $null filter? of een match of of like? Beetje basic powershell scripten. Afhankelijk hoe de data opgeslagen wordt.

Daarnaast hoeft MFA niet via een telefoon nummer te gaan.
Maar met een beetje scripten haal je dit soort informatie er meestal gemakkelijk uit. Je moet wel weten hoe je moet scripten natuurlijk.

Ik begrijp uit een andere reactie dat je het kunt exporteren, zal ik eens naar kijken. In het algemeen heb ik daar slechte ervaringen mee, als je in AD iets exporteert krijg je meestal ook niet wat je verwacht.
Of je vraagt het verkeerde? Ik script al jaren, zowel met vbs als powershell, en ik krijg eigenlijk altijd uit AD (of Azure) wat ik nodig heb. Je moet wel weten hoe je het moet vragen of scripten.
23-08-2019, 12:36 door Anoniem
Door Bitje-scheef:
Door Tha Cleaner:
Door Bitje-scheef: Microsoft heeft in het verleden een bedrijf opgekocht voor multi-factor authenticatie. Echter tot op de dag van vandaag is de software die dit bedrijf had ontwikkelt nauwelijks aangepast en is de database die gebruikt wordt voor opslag van users in plain text (ongecodeerd).
Je bedoelt hiermee Azure MFA of wat anders?
Want volgens zit hier de opslag in Azure AD en niet in een aparte losse database.

Nee, dit is nog voor de gewone Active Directory. Als je de locatie weet wat is alles zo uit te lezen.
Hoe bedoel je deze? In AD staat heel veel informatie. Vaak met een ALC afgeschermd, zodat niet iedereen dit zomaar kan lezen.
23-08-2019, 13:11 door Anoniem
Door Tha Cleaner:
Door Anoniem:
Door Anoniem:
'Learn powershell or learn to flip burgers' had een Mircosoft topman toch eens gezegd?
Ik heb het niet meer zo gevolgd maar in mijn tijd keek Microsoft altijd neer op alles wat commandline was.
Ze hielden dat ook altijd voor aan het management in verkoopgesprekken: nee meneer commandline dat moet je niet
hebben want dan kan alleen die IT expert van u het begrijpen en die gaat binnenkort weg en dan zit u mooi.
Neem onze clickety-click interface dan kan IEDEREEN het!
Ik heb dit nog nooit Microsoft horen zeggen, zowel bij MKB als bij Enterprise klanten.
Daarnaast als nog niet weet dat powershell de toekomst is, dan heb je de afgelopen 10 jaar het 1 en ander gemist in (Microsoft) IT land.

Maar waarom maken ze die dan zo dom? Wat ook altijd zo leuk is: je kunt wel vanalles zoeken maar dan alleen op
criteria als "is gelijk aan" of "is niet gelijk aan". Wil je bijvoorbeeld alle records zoeken waarbij een bepaald veld leeg
is dan denk je "ok er is geen 'is leeg' maar dan doe ik gewoon 'is gelijk aan' en dan laat ik dat zoekveldje leeg".
Nee, dat werkt niet! Anders kon je wel zoeken naar users waarbij het MFA telefoonnummer leeg is, als 1e benadering
voor users die geen MFA hebben.
bedoel je niet $null? of een -ne $null filter? of een match of of like? Beetje basic powershell scripten. Afhankelijk hoe de data opgeslagen wordt.

Daarnaast hoeft MFA niet via een telefoon nummer te gaan.
Maar met een beetje scripten haal je dit soort informatie er meestal gemakkelijk uit. Je moet wel weten hoe je moet scripten natuurlijk.

Ik begrijp uit een andere reactie dat je het kunt exporteren, zal ik eens naar kijken. In het algemeen heb ik daar slechte ervaringen mee, als je in AD iets exporteert krijg je meestal ook niet wat je verwacht.
Of je vraagt het verkeerde? Ik script al jaren, zowel met vbs als powershell, en ik krijg eigenlijk altijd uit AD (of Azure) wat ik nodig heb. Je moet wel weten hoe je het moet vragen of scripten.
Je hoeft niet eens powershell te gebruiken. Je kunt vanuit de office 365 portal direct de gegevens exporteren naar een csv bestand . powershell gebruik je in principe alleen als je het wilt automatiseren of als er geen andere mogelijkheid is.
18-09-2019, 16:27 door Anoniem
Door Anoniem: Wat lastig is bij Microsoft dat is regelen dat MFA voor iedereen in je domein (bestaande en nieuwe gebruikers)
geactiveerd wordt.
De tools die ze in hun admin control panel leveren zijn nogal primitief (of moet je zeggen achterlijk?)

Zo kun je bijvoorbeeld wel een lijst van AL je users krijgen en van je users die MFA hebben, maar NIET een lijst
van je users die GEEN MFA hebben! En omdat die lijst iedere keer maar 20 entries laat zien en dan moet je weer
op volgende klikken en 10 seconden wachten, is het haast niet te doen om snel even te checken wie er geen MFA
hebben. Je moet dan alles langs bladeren en dat zelf checken.

Dit kan wel? Weet niet overzicht jij hebt, maar kan dit prima zien hoor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.