Microsoft Authenticator قابلیتی برای خنثی کردن حملات اسپم به MFA به دست می آورد

مایکروسافت دستورالعمل‌هایی را برای پیکربندی تطابق اعداد منتشر کرده است که می‌تواند توسط گروه یا فیلترهای دیگر فعال شود، و خاطرنشان می‌کند که تطبیق اعداد در اعلان‌های اپل واچ پشتیبانی نمی‌شود. پس از اینکه تطبیق اعداد به صورت پیش‌فرض برای برنامه Authenticator تبدیل شد، کنترل‌های ارائه شده توسط سرپرست حذف خواهند شد.

همچنین: آیفون 14 پرو در مقابل آیفون 13 پرو: آیا جدیدترین آیفون ارزش ارتقا دارد؟

Microsoft Authenticator: تطبیق اعداد

تصویر: مایکروسافت


منبع: https://www.zdnet.com/article/microsoft-authenticator-gains-feature-to-thwart-spam-attacks-on-mfa/#ftag=RSSbaffb68کاربران آیفون

تصویر: Getty Images/MoMo Productions

با فعال بودن تطبیق اعداد، برنامه Authenticator از کاربر می‌خواهد تا هنگام تأیید درخواست MFA به جای زدن «تایید»، شماره نمایش داده شده در صفحه ورود را تایپ کند. این یک ویژگی مفید برای ادمین هایی است که کاربران آنها توسط این حمله به MFA دستگیر شده اند.

ویژگی پیشرفته جدید به طور کلی در Microsoft Authenticator موجود است و باید به مقابله با حملاتی که به MFA متکی بر هرزنامه‌های اعلان فشار هستند کمک کند.

به گفته الکس واینرت، معاون مدیر امنیت هویت مایکروسافت، در حال حاضر، مدیران می‌توانند تطبیق اعداد را در Authenticator فعال کنند، اما مایکروسافت قصد دارد در فوریه 2023 آن را برای همه کاربران Authenticator پیش‌فرض قرار دهد.

مایکروسافت «تطبیق اعداد» را در اعلان‌های فشاری برای برنامه احراز هویت چند عاملی خود (MFA) Microsoft Authenticator ارائه کرده است.

همچنین، اکنون Authenticator در iOS از App Transport Security (ATS) استفاده می‌کند، یک ویژگی امنیتی که اپل در iOS 9 در سال 2015 برای برقراری اتصالات امن از طریق اینترنت معرفی کرد. با این حال، ATS باید توسط توسعه دهندگان برنامه فعال شود و محققان در سال 2019 دریافتند که 67٪ از 30000 برنامه اسکن شده ATS کاملاً غیرفعال شده است.

محققان در اوایل سال جاری به اصطلاح «حملات خستگی MFA» را بر روی کاربران آفیس 365 مشاهده کردند، که در آن مهاجمان مکرراً اعلان‌های فشار MFA را فعال می‌کنند در حالی که سعی می‌کنند با یک رمز عبور در معرض خطر وارد حساب قربانی شوند. مهاجم امیدوار است که در برخی مواقع قربانی فرسوده شده یا حواسش به اندازه کافی توسط اعلان‌ها پرت شده باشد که به طور تصادفی تلاش برای ورود به سیستم را تأیید کند.

مدیران همچنین می توانند از پیکربندی Authenticator برای استفاده از زمینه مکان و زمینه برنامه برای جلوگیری از تأیید تصادفی استفاده کنند.