ویژگی پیشرفته جدید به طور کلی در Microsoft Authenticator موجود است و باید به مقابله با حملاتی که به MFA متکی بر هرزنامههای اعلان فشار هستند کمک کند.
به گفته الکس واینرت، معاون مدیر امنیت هویت مایکروسافت، در حال حاضر، مدیران میتوانند تطبیق اعداد را در Authenticator فعال کنند، اما مایکروسافت قصد دارد در فوریه 2023 آن را برای همه کاربران Authenticator پیشفرض قرار دهد.
همچنین، اکنون Authenticator در iOS از App Transport Security (ATS) استفاده میکند، یک ویژگی امنیتی که اپل در iOS 9 در سال 2015 برای برقراری اتصالات امن از طریق اینترنت معرفی کرد. با این حال، ATS باید توسط توسعه دهندگان برنامه فعال شود و محققان در سال 2019 دریافتند که 67٪ از 30000 برنامه اسکن شده ATS کاملاً غیرفعال شده است.
همچنین: آیفون 14 پرو در مقابل آیفون 13 پرو: آیا جدیدترین آیفون ارزش ارتقا دارد؟
با فعال بودن تطبیق اعداد، برنامه Authenticator از کاربر میخواهد تا هنگام تأیید درخواست MFA به جای زدن «تایید»، شماره نمایش داده شده در صفحه ورود را تایپ کند. این یک ویژگی مفید برای ادمین هایی است که کاربران آنها توسط این حمله به MFA دستگیر شده اند.
منبع: https://www.zdnet.com/article/microsoft-authenticator-gains-feature-to-thwart-spam-attacks-on-mfa/#ftag=RSSbaffb68
مایکروسافت دستورالعملهایی را برای پیکربندی تطابق اعداد منتشر کرده است که میتواند توسط گروه یا فیلترهای دیگر فعال شود، و خاطرنشان میکند که تطبیق اعداد در اعلانهای اپل واچ پشتیبانی نمیشود. پس از اینکه تطبیق اعداد به صورت پیشفرض برای برنامه Authenticator تبدیل شد، کنترلهای ارائه شده توسط سرپرست حذف خواهند شد.
محققان در اوایل سال جاری به اصطلاح «حملات خستگی MFA» را بر روی کاربران آفیس 365 مشاهده کردند، که در آن مهاجمان مکرراً اعلانهای فشار MFA را فعال میکنند در حالی که سعی میکنند با یک رمز عبور در معرض خطر وارد حساب قربانی شوند. مهاجم امیدوار است که در برخی مواقع قربانی فرسوده شده یا حواسش به اندازه کافی توسط اعلانها پرت شده باشد که به طور تصادفی تلاش برای ورود به سیستم را تأیید کند.
مدیران همچنین می توانند از پیکربندی Authenticator برای استفاده از زمینه مکان و زمینه برنامه برای جلوگیری از تأیید تصادفی استفاده کنند.
مایکروسافت «تطبیق اعداد» را در اعلانهای فشاری برای برنامه احراز هویت چند عاملی خود (MFA) Microsoft Authenticator ارائه کرده است.