微軟上周公布為Microsoft Authenticator App設計的新功能,防止用戶不堪MFA疲勞攻擊(MFA fatigue)而讓駭客最後得逞。而這名為號碼比對(number matching)的功能,也會在明年春天推向所有用戶。
雙因素(2FA)或多因素驗證(Multi-factor Authentication,MFA)雖然比密碼安全,但卻衍生MFA疲勞攻擊的問題。這種攻擊是攻擊者從網站取得的用戶帳號密碼,再登入已設定MFA的帳號並輸入密碼。這會觸發用戶帳號透過驗證App(例如Microsoft Authenticator或Google Authenticator)發送要求核准的通知。攻擊者藉由觸發大量核准通知造成受害者應接不暇而發生錯誤,而讓攻擊者成功登入帳號。
MFA疲勞攻擊手法已經被證實是有用的。今年8月思科勒索軟體閰羅王(Yanlouwang)背後的駭客組織駭入網路,以及9月間Uber遭Lapsus$入侵都是MFA疲勞攻擊手法奏效。
名為號碼比對(Number matching)的功能是Microsoft Authenticator雙因素驗證通知的升級版。啟動該功能時,Authenticator App在用戶核准時會要求他輸入顯示在登入頁面上的數字,而不只是按下「許可」。這會大幅減少用戶誤觸許可,讓駭客成功登入的機會。
圖片來源/微軟
微軟說這功能啟動與否,對本來就不用密碼的用戶沒有影響,因為這也是無密碼登入的一部份。
多種情境都支援號碼比對,包括多因素驗證(MFA)、自動密碼重設(Self-service password reset,SSPR)、MFA及SSPR合併註冊、AD FS(Federation Service)adapter及NPS(Network Policy Server)extension for Azure AD Multi-Factor。此外,這功能可用於企業的單一群組,而不論是本地部署環境或是雲端安全群組,也都可以在Authenticator登入方法中啟用號碼比對。
現在號碼比對功能已可在Azure Government登入時使用,但還不支援合併註冊(combined registration),微軟說11月30日就會支援。
微軟也預告,號碼比對會從明年2月28日對所有用戶預設啟動。
二周前微軟才宣布強化Authenticator功能,在它的無密碼和推播通知中,加入帳號登入者的App名稱和地理位置。
熱門新聞
2024-06-24
2024-06-21
2024-06-24
2024-06-26
2024-06-25
2024-06-26
