微軟 Authenticator 應用被曝設計缺陷,賬號被覆蓋、鎖定

IT之家 8 月 7 日消息,消息源 CSO News 於 8 月 5 日報道,微軟旗下的 Microsoft Authenticator 身份驗證應用存在設計缺陷,會覆蓋多重身份驗證(MFA)導致其被鎖定。

IT之家援引消息稱,Microsoft Authenticator 存在字段使用問題,用戶掃描 QR 二維碼添加新賬號之後,經常會覆蓋此前賬號並導致賬號被鎖定。

通常情況下,用戶不太可能聯繫到 Authenticator 應用,而是會歸咎當前使用 Authenticator 認證的頁面或者服務上。

這個問題的核心在於,Microsoft Authenticator 會用相同的用戶名覆蓋賬戶。

由於用戶名普遍使用電子郵件地址,大多數用戶的應用程序都使用相同的用戶名。Google Authenticator 等其它身份認證應用會添加銀行、汽車公司等信息來避免這個問題,而 Microsoft Authenticator 只使用用戶名字段。

而且更爲糟糕的是,在覆蓋賬號之後,系統很難確定哪個賬戶被覆蓋,這可能會導致新創建的賬戶和被覆蓋的賬戶均出現身份驗證問題。

而用戶可能會在幾周,甚至幾個月之後才嘗試使用此前創建的賬號,而此時該賬號已經被註銷。