微软上周公布为Microsoft Authenticator App设计的新功能,防止用户不堪MFA疲劳攻击(MFA fatigue)而让黑客最后得逞。而这名为号码比对(number matching)的功能,也会在明年春天推向所有用户。
双因素(2FA)或多因素验证(Multi-factor Authentication,MFA)虽然比密码安全,但却衍生MFA疲劳攻击的问题。这种攻击是攻击者从网站取得的用户账号密码,再登录已设置MFA的账号并输入密码。这会触发用户账号通过验证App(例如Microsoft Authenticator或Google Authenticator)发送要求核准的通知。攻击者借由触发大量核准通知造成受害者应接不暇而发生错误,而让攻击者成功登录账号。
MFA疲劳攻击手法已经被证实是有用的。今年8月思科勒索软件閰罗王(Yanlouwang)背后的黑客组织黑入网络,以及9月间Uber遭Lapsus$入侵都是MFA疲劳攻击手法奏效。
名为号码比对(Number matching)的功能是Microsoft Authenticator双重验证通知的升级版。启动该功能时,Authenticator App在用户核准时会要求他输入显示在登录页面上的数字,而不只是按下“许可”。这会大幅减少用户误触许可,让黑客成功登录的机会。
图片来源/微软
微软说这功能启动与否,对本来就不用密码的用户没有影响,因为这也是无密码登录的一部分。
多种场景都支持号码比对,包括多因素验证(MFA)、自动密码重设(Self-service password reset,SSPR)、MFA及SSPR整合注册、AD FS(Federation Service)adapter及NPS(Network Policy Server)extension for Azure AD Multi-Factor。此外,这功能可用于企业的单一群组,而不论是本地部署环境或是云计算安全群组,也都可以在Authenticator登录方法中激活号码比对。
现在号码比对功能已可在Azure Government登录时使用,但还不支持整合注册(combined registration),微软说11月30日就会支持。
微软也预告,号码比对会从明年2月28日对所有用户默认启动。
二周前微软才宣布强化Authenticator功能,在它的无密码和推送通知中,加入账号登录者的App名称和地理位置。