微軟身份驗證器被爆存在嚴重設(shè)計問題 用戶掃碼添加賬戶時數(shù)據(jù)會被覆蓋

這個問題終于又被注意到了嗎？

今天主要面向企業(yè) IT 管理員的行業(yè)科技網(wǎng)站 CSO Online 發(fā)布報告稱微軟身份驗證器存在嚴重的設(shè)計問題，當(dāng)用戶嘗試使用掃碼綁定 2FA 或 MFA 多因素驗證時，可能會出現(xiàn)數(shù)據(jù)被覆蓋的問題，即現(xiàn)有賬戶的 2FA 數(shù)據(jù)被新添加的數(shù)據(jù)覆蓋導(dǎo)致無法登錄原來的賬戶。

這個問題其實已經(jīng)存在很多年，這是典型的設(shè)計問題但至今微軟都沒有徹底解決問題，尤其是隨著 2FA/MFA 的流行，越來越多的企業(yè)要求員工必須綁定多因素認證，然后就出現(xiàn)問題的概率就更大了。

問題發(fā)生原因：

通常我們主要使用一個電子郵箱注冊各種網(wǎng)站的賬戶，當(dāng)掃碼添加 2FA 驗證賬戶時，微軟不會校驗是否存在同名賬戶問題，而是直接選擇了覆蓋。

也就是說當(dāng)已經(jīng)綁定 [email protected] 這個賬戶的 2FA 后，我們注冊其他網(wǎng)站仍然使用該郵箱并繼續(xù)掃碼綁定時，新賬戶的 2FA 數(shù)據(jù)會替代原來同名賬戶的數(shù)據(jù)。

用戶不會看出來有任何區(qū)別，因為本身 2FA 驗證碼就是 30 秒鐘刷新一次的，只有在登錄時多次輸入驗證碼始終出錯才意識到哪里出了問題。

這對企業(yè) IT 管理員來說是個非常痛苦的情況，他們經(jīng)常需要花時間幫助其他員工處理這個問題，但如果使用微軟身份驗證器綁定微軟賬戶則不會出現(xiàn)同樣的問題，如果使用谷歌身份驗證器也不會出現(xiàn)類似的問題。

從微軟身份驗證器發(fā)布時就一直存在：

雖然已經(jīng)被報道過幾次但微軟始終沒有解決數(shù)據(jù)覆蓋問題，這個問題從微軟身份驗證器在 2016 年發(fā)布時就存在，轉(zhuǎn)眼間已經(jīng)過去了八年。

如果用戶必須使用微軟身份驗證器那也有辦法進行規(guī)避，那就是輸入 TOTP 綁定的驗證碼而不是使用掃碼添加，當(dāng)手動輸入綁定驗證碼時你可以自己添加賬戶，此時不會出現(xiàn)自動覆蓋問題。

不過手動輸入 TOTP 綁定的驗證碼解決方案并不適用于企業(yè)用戶，所以對企業(yè)用戶來說除了更換其他身份驗證器外暫時也沒有太好的解決辦法。