Falha no Microsoft Authenticator sobrescreve contas de MFA e bloqueia usuários

 (csoonline.com)
2 pontos por GN⁺ 2024-08-18 | 1 comentários | Compartilhar no WhatsApp

Problema no Microsoft Authenticator

  • O Microsoft Authenticator tem um problema em que, ao adicionar uma nova conta por código QR, ele sobrescreve uma conta existente
  • Isso faz com que os usuários percam o acesso à conta, causando grande inconveniência
  • A causa do problema é que o Microsoft Authenticator identifica as contas usando apenas o nome de usuário
  • Outros apps, como o Google Authenticator, evitam esse problema ao adicionar também o nome do emissor

Gravidade do problema

  • O Microsoft Authenticator sobrescreve contas com o mesmo nome de usuário, algo comum quando endereços de e-mail são usados como nome de usuário
  • Quando a sobrescrita acontece, é difícil saber qual conta foi substituída
  • O usuário geralmente só percebe o problema depois, quando tenta usar a conta

Como resolver

  • A solução mais fácil é usar outro aplicativo autenticador
  • Também é possível inserir o código manualmente em vez de escanear o código QR
  • Esse problema existe desde o lançamento do Microsoft Authenticator, em 2016

Reclamações dos usuários

  • Reclamações sobre esse problema vêm sendo feitas desde 2020, mas a Microsoft não o corrigiu
  • Inserir as informações manualmente é ineficiente em ambientes corporativos

Caso de Brett Randall

  • O consultor de TI australiano Brett Randall publicou recentemente esse problema no LinkedIn
  • Ele explicou que, ao escanear um código QR, o Microsoft Authenticator sobrescreve chaves TOTP de outros aplicativos
  • Outros apps autenticadores combinam o emissor e o rótulo para criar um ID único, mas a Microsoft usa apenas o rótulo

Opinião dos especialistas

  • Vários especialistas em segurança e TI conseguiram reproduzir esse problema
  • Tim Erlin, vice-presidente de produto da Wallarm, afirmou que isso bloqueia usuários e caracteriza uma falha de design
  • David Meltzer, diretor de produto da Netography, disse ter passado por isso pessoalmente e considera o caso um bug

Posição da Microsoft

  • A Microsoft trata esse problema como um recurso e responsabiliza o usuário ou o emissor
  • A Microsoft afirma que mostra ao usuário uma mensagem perguntando se deseja sobrescrever a configuração da conta
  • No entanto, essa mensagem induz o usuário a prosseguir com a sobrescrita

Proposta de solução

  • Brett Randall sugeriu auditar o otpauth de todos os aplicativos ou que a Microsoft corrija o problema
  • Em testes com 14 aplicativos autenticadores diferentes, apenas o Microsoft Authenticator apresentou esse problema

Resumo do GN⁺

  • O Microsoft Authenticator tem um problema em que sobrescreve contas existentes ao adicionar uma nova conta
  • Esse problema causa grande inconveniência para usuários e empresas, enquanto outros apps autenticadores conseguem evitá-lo
  • A Microsoft não corrige o problema e responsabiliza o usuário ou o emissor
  • Para evitar esse problema, recomenda-se usar outro aplicativo autenticador

Leituras relacionadas

1 comentários

 
GN⁺ 2024-08-18
Opiniões do Hacker News

  • O motivo para escolher o Microsoft Authenticator é que a Microsoft força seu uso

    • Não permite usar outros aplicativos OTP e não oferece aos administradores uma ferramenta para desativar isso
    • O código QR não é um TOTP padrão, então outros clientes o rejeitam
    • Só é possível obter o código QR TOTP real pelo link "usar outro aplicativo"

  • Problemas de segurança e usabilidade são graves

    • Há muitos incômodos para o usuário, como ciclo de troca de senha, regras de senha complexas e requisitos de senha não documentados
    • Vazamentos de dados acontecem com frequência devido a vulnerabilidades no próprio sistema de segurança

  • O e-mail recebido da Microsoft parecia phishing

    • Foi recebido um e-mail para ativar MFA, mas na prática a pessoa não gerencia nenhuma organização relacionada à Microsoft
    • O e-mail não continha nome nem nome da organização, apenas um UUID

  • Questionamentos sobre o fato de o Microsoft Authenticator armazenar itens com base em rótulos

    • Ele não gera uma chave interna, e isso causa problemas se o site não colocar informações no campo de emissor
    • Há dúvidas se a própria Microsoft realmente usa o Authenticator internamente

  • Experiência de perder acesso à conta do GitHub por causa de um bug no Safari

    • O Safari tinha um bug que sobrescrevia senhas sem aviso
    • Hoje isso já foi corrigido, mas ainda existe um bug em que ele não consegue diferenciar subdomínios

  • Problema de acesso à conta do Google

    • Após mudar de país e de computador, não foi mais possível acessar a conta do Google
    • Nem mesmo usar o endereço de e-mail de recuperação resolveu o problema
    • É inconveniente ter de memorizar o endereço de e-mail de recuperação como se fosse uma senha

  • Críticas à escolha de serviços da Microsoft

    • A Microsoft transfere a responsabilidade para usuários e clientes
    • O ecossistema Windows ficou complexo e difícil de usar
    • Novos recursos do MS Teams são adicionados, mas problemas antigos não são resolvidos

  • É possível usar várias contas com o mesmo nome de usuário

    • Pode haver uma falha de design, mas é possível usar o mesmo nome de usuário em sites diferentes

  • A criação de conta no Hotmail não é amigável para pessoas com deficiência visual

  • Problema de o Microsoft Authenticator rastrear localização

    • O rastreamento de localização é percebido como um problema ainda maior