微软改变了其身份验证器应用程序的工作方式,试图通过防止多重身份验证(MFA)疲劳攻击来使其更加安全。
当在智能手机等辅助设备上收到来自MicrosoftAuthenticator的推送通知以验证登录尝试时,用户现在必须输入主设备上显示的两位数代码。这意味着他们无法接受登录尝试,除非他们实际上可以看到登录屏幕。
在MFA攻击中,希望用户在受到轰炸后盲目地验证登录尝试,只是为了让他们在疲惫后停止或错误。一旦黑客窃取了员工的初始登录凭据,这种方法就可以非常成功地渗透到大公司(包括微软本身)。
微软在公司的Learn网站上解释说:“号码匹配是MicrosoftAuthenticator中传统第二因素通知的关键安全升级。我们将删除管理控制,并在整个租户范围内为MicrosoftAuthenticator推送通知的所有用户强制实施号码匹配体验从2023年5月8日开始。”
它还表示,各种服务将采用这一新变化,并且某些服务可能会看到号码匹配,而其他服务则不会。但在Microsoft删除管理控件之前,用户可以通过导航到Azure门户中的“安全”>“身份验证方法”>“MicrosoftAuthenticator”来手动进行切换。
然后,在启用和目标下,您可以通过将身份验证模式设置为任何或推送来选择它将应用于哪些用户。在“配置”选项卡下,您将看到“推送通知需要号码匹配”。将状态更改为“启用”并选择其适用对象,然后单击“保存”。
Microsoft还解释了如何使用GraphAPI为某些组启用新的号码匹配功能。
该公司还指出,“如果用户有不同的默认身份验证方法,他们的默认登录不会有任何变化。”
“如果默认方法是MicrosoftAuthenticator,并且在以下任一策略中指定了用户,他们将在2023年5月8日之后开始收到号码匹配批准。”
可以采取进一步的安全措施来防止MFA疲劳攻击,方法是限制身份验证请求的数量、警告管理员或在超过该数量时锁定帐户。