微軟身份驗(yàn)證器被爆存在嚴(yán)重設(shè)計(jì)問(wèn)題 用戶掃碼添加賬戶時(shí)數(shù)據(jù)會(huì)被覆蓋

這個(gè)問(wèn)題終于又被注意到了嗎？

今天主要面向企業(yè) IT 管理員的行業(yè)科技網(wǎng)站 CSO Online 發(fā)布報(bào)告稱微軟身份驗(yàn)證器存在嚴(yán)重的設(shè)計(jì)問(wèn)題，當(dāng)用戶嘗試使用掃碼綁定 2FA 或 MFA 多因素驗(yàn)證時(shí)，可能會(huì)出現(xiàn)數(shù)據(jù)被覆蓋的問(wèn)題，即現(xiàn)有賬戶的 2FA 數(shù)據(jù)被新添加的數(shù)據(jù)覆蓋導(dǎo)致無(wú)法登錄原來(lái)的賬戶。

這個(gè)問(wèn)題其實(shí)已經(jīng)存在很多年，這是典型的設(shè)計(jì)問(wèn)題但至今微軟都沒(méi)有徹底解決問(wèn)題，尤其是隨著 2FA/MFA 的流行，越來(lái)越多的企業(yè)要求員工必須綁定多因素認(rèn)證，然后就出現(xiàn)問(wèn)題的概率就更大了。

問(wèn)題發(fā)生原因：

通常我們主要使用一個(gè)電子郵箱注冊(cè)各種網(wǎng)站的賬戶，當(dāng)掃碼添加 2FA 驗(yàn)證賬戶時(shí)，微軟不會(huì)校驗(yàn)是否存在同名賬戶問(wèn)題，而是直接選擇了覆蓋。

也就是說(shuō)當(dāng)已經(jīng)綁定 [email protected] 這個(gè)賬戶的 2FA 后，我們注冊(cè)其他網(wǎng)站仍然使用該郵箱并繼續(xù)掃碼綁定時(shí)，新賬戶的 2FA 數(shù)據(jù)會(huì)替代原來(lái)同名賬戶的數(shù)據(jù)。

用戶不會(huì)看出來(lái)有任何區(qū)別，因?yàn)楸旧?2FA 驗(yàn)證碼就是 30 秒鐘刷新一次的，只有在登錄時(shí)多次輸入驗(yàn)證碼始終出錯(cuò)才意識(shí)到哪里出了問(wèn)題。

這對(duì)企業(yè) IT 管理員來(lái)說(shuō)是個(gè)非常痛苦的情況，他們經(jīng)常需要花時(shí)間幫助其他員工處理這個(gè)問(wèn)題，但如果使用微軟身份驗(yàn)證器綁定微軟賬戶則不會(huì)出現(xiàn)同樣的問(wèn)題，如果使用谷歌身份驗(yàn)證器也不會(huì)出現(xiàn)類似的問(wèn)題。

從微軟身份驗(yàn)證器發(fā)布時(shí)就一直存在：

雖然已經(jīng)被報(bào)道過(guò)幾次但微軟始終沒(méi)有解決數(shù)據(jù)覆蓋問(wèn)題，這個(gè)問(wèn)題從微軟身份驗(yàn)證器在 2016 年發(fā)布時(shí)就存在，轉(zhuǎn)眼間已經(jīng)過(guò)去了八年。

如果用戶必須使用微軟身份驗(yàn)證器那也有辦法進(jìn)行規(guī)避，那就是輸入 TOTP 綁定的驗(yàn)證碼而不是使用掃碼添加，當(dāng)手動(dòng)輸入綁定驗(yàn)證碼時(shí)你可以自己添加賬戶，此時(shí)不會(huì)出現(xiàn)自動(dòng)覆蓋問(wèn)題。

不過(guò)手動(dòng)輸入 TOTP 綁定的驗(yàn)證碼解決方案并不適用于企業(yè)用戶，所以對(duì)企業(yè)用戶來(lái)說(shuō)除了更換其他身份驗(yàn)證器外暫時(shí)也沒(méi)有太好的解決辦法。