微軟 Authenticator 應(yīng)用被曝設(shè)計(jì)缺陷，賬號(hào)被覆蓋、鎖定

IT之家 8 月 7 日消息，消息源 CSO News 于 8 月 5 日報(bào)道，微軟旗下的 Microsoft Authenticator 身份驗(yàn)證應(yīng)用存在設(shè)計(jì)缺陷，會(huì)覆蓋多重身份驗(yàn)證（MFA）導(dǎo)致其被鎖定。

IT之家援引消息稱(chēng)，Microsoft Authenticator 存在字段使用問(wèn)題，用戶(hù)掃描 QR 二維碼添加新賬號(hào)之后，經(jīng)常會(huì)覆蓋此前賬號(hào)并導(dǎo)致賬號(hào)被鎖定。

通常情況下，用戶(hù)不太可能聯(lián)系到 Authenticator 應(yīng)用，而是會(huì)歸咎當(dāng)前使用 Authenticator 認(rèn)證的頁(yè)面或者服務(wù)上。

這個(gè)問(wèn)題的核心在于，Microsoft Authenticator 會(huì)用相同的用戶(hù)名覆蓋賬戶(hù)。

由于用戶(hù)名普遍使用電子郵件地址，大多數(shù)用戶(hù)的應(yīng)用程序都使用相同的用戶(hù)名。Google Authenticator 等其它身份認(rèn)證應(yīng)用會(huì)添加銀行、汽車(chē)公司等信息來(lái)避免這個(gè)問(wèn)題，而 Microsoft Authenticator 只使用用戶(hù)名字段。

而且更為糟糕的是，在覆蓋賬號(hào)之后，系統(tǒng)很難確定哪個(gè)賬戶(hù)被覆蓋，這可能會(huì)導(dǎo)致新創(chuàng)建的賬戶(hù)和被覆蓋的賬戶(hù)均出現(xiàn)身份驗(yàn)證問(wèn)題。

而用戶(hù)可能會(huì)在幾周，甚至幾個(gè)月之后才嘗試使用此前創(chuàng)建的賬號(hào)，而此時(shí)該賬號(hào)已經(jīng)被注銷(xiāo)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。