Lỗi của Microsoft Authenticator ghi đè tài khoản MFA, khiến người dùng bị khóa truy cập

 (csoonline.com)
2 điểm bởi GN⁺ 2024-08-18 | 1 bình luận | Chia sẻ qua WhatsApp

Vấn đề của Microsoft Authenticator

  • Microsoft Authenticator có lỗi ghi đè tài khoản hiện có khi thêm tài khoản mới bằng mã QR
  • Vì vậy, người dùng có thể không còn truy cập được vào tài khoản và gặp bất tiện lớn
  • Nguyên nhân là Microsoft Authenticator chỉ dùng tên người dùng để nhận diện tài khoản
  • Các ứng dụng khác như Google Authenticator tránh được vấn đề này bằng cách thêm tên đơn vị phát hành

Mức độ nghiêm trọng của vấn đề

  • Microsoft Authenticator ghi đè các tài khoản có cùng tên người dùng, điều này thường xảy ra vì nhiều tài khoản dùng địa chỉ email làm tên người dùng
  • Khi xảy ra ghi đè, rất khó biết tài khoản nào đã bị ghi đè
  • Người dùng thường chỉ nhận ra vấn đề khi sau đó cố sử dụng tài khoản

Cách khắc phục

  • Giải pháp dễ nhất là dùng một ứng dụng xác thực khác
  • Cũng có thể nhập mã thủ công thay vì quét mã QR
  • Vấn đề này đã tồn tại từ khi Microsoft Authenticator ra mắt vào năm 2016

Phàn nàn của người dùng

  • Từ năm 2020 đã có khiếu nại về vấn đề này, nhưng Microsoft vẫn chưa khắc phục
  • Cách nhập thông tin thủ công là không hiệu quả trong môi trường doanh nghiệp

Trường hợp của Brett Randall

  • Chuyên gia tư vấn CNTT người Australia Brett Randall gần đây đã đăng về vấn đề này trên LinkedIn
  • Ông giải thích rằng khi quét mã QR, Microsoft Authenticator có thể ghi đè khóa TOTP của ứng dụng khác
  • Các ứng dụng xác thực khác tạo ID duy nhất bằng cách kết hợp đơn vị phát hành và nhãn, còn Microsoft chỉ dùng nhãn

Ý kiến chuyên gia

  • Nhiều chuyên gia bảo mật và CNTT đã có thể tái hiện vấn đề này
  • Tim Erlin, Phó chủ tịch sản phẩm của Wallarm, cho biết lỗi này có thể khiến người dùng bị khóa truy cập và đây là một lỗi thiết kế
  • David Meltzer, Giám đốc sản phẩm của Netography, cho biết ông đã trực tiếp gặp vấn đề này và coi đây là một bug

Lập trường của Microsoft

  • Microsoft coi đây là một tính năng và đổ lỗi cho người dùng hoặc bên phát hành
  • Microsoft cho rằng họ có hiển thị thông báo hỏi người dùng có muốn ghi đè cấu hình tài khoản hay không
  • Tuy nhiên, thông báo này lại dẫn người dùng tiếp tục thao tác ghi đè

Đề xuất giải pháp

  • Brett Randall đề xuất kiểm tra toàn bộ otpauth của các ứng dụng hoặc Microsoft cần sửa vấn đề này
  • Kết quả thử nghiệm với 14 ứng dụng xác thực khác nhau cho thấy chỉ Microsoft Authenticator gặp lỗi này

Tóm tắt của GN⁺

  • Microsoft Authenticator có lỗi ghi đè tài khoản hiện có khi thêm tài khoản mới
  • Vấn đề này gây bất tiện lớn cho người dùng và doanh nghiệp, trong khi các ứng dụng xác thực khác có thể tránh được
  • Microsoft không sửa lỗi mà lại đổ trách nhiệm cho người dùng hoặc bên phát hành
  • Để tránh vấn đề này, nên sử dụng một ứng dụng xác thực khác

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-08-18
Ý kiến trên Hacker News

  • Lý do chọn Microsoft Authenticator là vì Microsoft ép người dùng phải dùng nó

    • Không cho dùng các ứng dụng OTP khác và cũng không cung cấp công cụ để quản trị viên vô hiệu hóa việc này
    • Mã QR không phải TOTP tiêu chuẩn nên các ứng dụng khách khác sẽ từ chối nó
    • Chỉ có thể lấy mã QR TOTP thực sự thông qua liên kết "dùng ứng dụng khác"

  • Các vấn đề về bảo mật và tính dễ dùng là vấn đề lớn

    • Có rất nhiều bất tiện mà người dùng gặp phải như chu kỳ đổi mật khẩu, quy tắc mật khẩu phức tạp, các yêu cầu mật khẩu không được tài liệu hóa
    • Việc rò rỉ dữ liệu xảy ra thường xuyên do chính các lỗ hổng của hệ thống bảo mật

  • Email nhận từ Microsoft trông giống email lừa đảo

    • Đã nhận được email yêu cầu bật MFA nhưng thực tế không quản lý tổ chức nào liên quan đến Microsoft
    • Trong email không có tên hay tên tổ chức, chỉ chứa UUID

  • Thắc mắc về việc Microsoft Authenticator lưu mục theo nhãn

    • Nó không tạo khóa nội bộ, nên nếu website không điền thông tin vào trường issuer thì sẽ phát sinh vấn đề
    • Có nghi ngờ liệu nội bộ Microsoft có thực sự dùng Authenticator hay không

  • Trải nghiệm mất quyền truy cập tài khoản GitHub do lỗi của Safari

    • Safari từng có lỗi ghi đè mật khẩu mà không cảnh báo
    • Hiện đã được sửa, nhưng vẫn còn lỗi không phân biệt được các tên miền phụ

  • Vấn đề truy cập tài khoản Google

    • Sau khi đổi quốc gia và máy tính thì không thể truy cập tài khoản Google
    • Ngay cả khi dùng địa chỉ email khôi phục cũng không giải quyết được vấn đề
    • Việc phải nhớ địa chỉ email khôi phục như nhớ mật khẩu là điều bất tiện

  • Chỉ trích việc lựa chọn dịch vụ của Microsoft

    • Microsoft đẩy trách nhiệm sang người dùng và phía khách hàng
    • Hệ sinh thái Windows trở nên phức tạp và khó sử dụng hơn
    • Các tính năng mới của MS Teams được thêm vào nhưng những vấn đề cũ vẫn không được giải quyết

  • Có thể dùng nhiều tài khoản có cùng tên người dùng

    • Có thể đây là lỗi thiết kế, nhưng vẫn có thể dùng cùng một tên người dùng trên các trang khác nhau

  • Việc tạo tài khoản Hotmail không thân thiện với người khiếm thị

  • Vấn đề Microsoft Authenticator theo dõi vị trí

    • Việc theo dõi vị trí được xem là vấn đề lớn hơn