Microsoft Authenticator açığı MFA hesaplarının üzerine yazıyor, kullanıcıları kilitliyor

 (csoonline.com)
2 puan yazan GN⁺ 2024-08-18 | 1 yorum | WhatsApp'ta paylaş

Microsoft Authenticator'daki sorun

  • Microsoft Authenticator, yeni bir hesabı QR koduyla eklerken mevcut hesabın üzerine yazma sorunu yaşıyor
  • Bu nedenle kullanıcılar hesaplarına erişemez hale geliyor ve ciddi mağduriyet yaşıyor
  • Sorunun nedeni, Microsoft Authenticator'ın hesapları tanımlamak için yalnızca kullanıcı adını kullanması
  • Google Authenticator gibi diğer uygulamalar bu sorunu önlemek için sağlayıcı adını da ekliyor

Sorunun ciddiyeti

  • Microsoft Authenticator, aynı kullanıcı adına sahip hesapların üzerine yazıyor; bu da e-posta adreslerinin sıkça kullanıcı adı olarak kullanılması nedeniyle yaygın biçimde ortaya çıkıyor
  • Üzerine yazma gerçekleştiğinde hangi hesabın ezildiğini anlamak zorlaşıyor
  • Kullanıcılar bu sorunu çoğu zaman hesabı daha sonra kullanmaya çalıştıklarında fark ediyor

Çözüm yolları

  • En kolay çözüm, başka bir kimlik doğrulama uygulaması kullanmak
  • QR kod taramak yerine kodu elle girmek de bir seçenek
  • Bu sorun, Microsoft Authenticator'ın 2016'daki çıkışından beri var

Kullanıcı şikayetleri

  • Bu sorunla ilgili şikayetler 2020'den beri dile getiriliyor, ancak Microsoft bunu çözmüş değil
  • Bilgileri elle girme yöntemi kurumsal ortamlarda verimsiz kalıyor

Brett Randall vakası

  • Avustralyalı BT danışmanı Brett Randall, yakın zamanda bu sorunu LinkedIn'de paylaştı
  • QR kod tarandığında Microsoft Authenticator'ın başka bir uygulamadaki TOTP anahtarının üzerine yazdığını anlattı
  • Diğer kimlik doğrulama uygulamaları benzersiz kimlik oluşturmak için sağlayıcı ile etiketi birleştirirken, Microsoft yalnızca etiketi kullanıyor

Uzman görüşleri

  • Birçok güvenlik ve BT uzmanı bu sorunu yeniden üretebildi
  • Wallarm ürün başkan yardımcısı Tim Erlin, bu sorunun kullanıcıların kilitlenmesine yol açtığını ve bunun bir tasarım kusuru olduğunu söyledi
  • Netography baş ürün sorumlusu David Meltzer da bu sorunu bizzat yaşadığını ve bunu bir hata olarak gördüğünü belirtti

Microsoft'un tutumu

  • Microsoft bu sorunu bir özellik olarak değerlendiriyor ve suçu kullanıcıya ya da sağlayıcıya yüklüyor
  • Microsoft, kullanıcılara hesap ayarlarının üzerine yazılıp yazılmayacağını soran bir mesaj sunduğunu savunuyor
  • Ancak bu mesaj, kullanıcıyı üzerine yazma işlemine devam etmeye yönlendiriyor

Önerilen çözüm

  • Brett Randall, tüm uygulamalardaki otpauth kayıtlarının denetlenmesini ya da Microsoft'un sorunu düzeltmesini önerdi
  • 14 farklı kimlik doğrulama uygulaması test edildiğinde, bu sorunu yaşayan tek uygulamanın Microsoft Authenticator olduğu görüldü

GN⁺ özeti

  • Microsoft Authenticator, yeni hesap eklerken mevcut hesapların üzerine yazma sorunu yaşıyor
  • Bu sorun hem kullanıcılar hem de şirketler için ciddi aksaklıklara yol açıyor; diğer kimlik doğrulama uygulamaları ise bundan kaçınabiliyor
  • Microsoft sorunu çözmek yerine sorumluluğu kullanıcıya ya da sağlayıcıya yüklüyor
  • Bu sorundan kaçınmak için başka bir kimlik doğrulama uygulaması kullanılması öneriliyor

İlgili okumalar

1 yorum

 
GN⁺ 2024-08-18
Hacker News görüşü

  • Microsoft Authenticator'ın tercih edilme nedeni, Microsoft'un bunu fiilen zorunlu kılması

    • Diğer OTP uygulamalarının kullanılmasına izin vermiyor ve yöneticilere bunu devre dışı bırakacak bir araç sunmuyor
    • QR kodu standart TOTP değil, bu yüzden diğer istemciler bunu reddediyor
    • Gerçek TOTP QR kodu ancak "başka bir uygulama kullan" bağlantısı üzerinden alınabiliyor

  • Güvenlik ve kullanılabilirlik sorunları büyük bir problem

    • Parola değiştirme sıklığı, karmaşık parola kuralları ve belgelenmemiş parola gereksinimleri gibi kullanıcıların yaşadığı birçok zorluk var
    • Güvenlik sisteminin kendi zafiyetleri nedeniyle veri sızıntıları sık yaşanıyor

  • Microsoft'tan gelen e-posta bir phishing mesajı gibi görünüyordu

    • MFA'yı etkinleştirme e-postası alındı, ancak gerçekte Microsoft'la ilişkili bir kuruluş yönetilmiyor
    • E-postada isim ya da kuruluş adı yoktu, yalnızca bir UUID vardı

  • Microsoft Authenticator'ın öğeleri etiket tabanlı olarak saklaması sorgulanıyor

    • Dahili bir anahtar üretmiyor ve web sitesi issuer alanına bilgi koymazsa sorun çıkıyor
    • Microsoft içinde gerçekten Authenticator kullanılıp kullanılmadığı sorgulanıyor

  • Safari'deki bir bug nedeniyle GitHub hesabına erişimin kaybedildiği deneyim

    • Safari'nin uyarı vermeden parolayı üzerine yazdığı bir bug vardı
    • Şimdi düzeltilmiş olsa da, hâlâ alt alan adlarını ayırt edememe bug'ı var

  • Google hesabına erişim sorunu

    • Ülke ve bilgisayar değiştirildikten sonra Google hesabına erişilemedi
    • Kurtarma e-posta adresi kullanılsa da sorun çözülemedi
    • Kurtarma e-posta adresini parola gibi ezberlemek zorunda kalmak rahatsız edici

  • Microsoft'un hizmet tercihine yönelik eleştiri

    • Microsoft sorumluluğu kullanıcılara ve istemcilere yüklüyor
    • Windows ekosistemi karmaşıklaştı ve kullanımı zorlaştı
    • MS Teams'e yeni özellikler ekleniyor, ancak mevcut sorunlar çözülmüyor

  • Aynı kullanıcı adına sahip birden fazla hesap kullanılabiliyor

    • Tasarımsal bir kusur olabilir, ancak aynı kullanıcı adı farklı sitelerde kullanılabiliyor

  • Hotmail hesabı oluşturma süreci görme engelliler için erişilebilir değil

  • Microsoft Authenticator'ın konum takibi yapması sorunu

    • Konum takibi daha büyük bir sorun olarak görülüyor