微軟身份驗(yàn)證器被爆存在嚴(yán)重設(shè)計(jì)問題 用戶掃碼添加賬戶時數(shù)據(jù)會被覆蓋

這個問題終于又被注意到了嗎？

今天主要面向企業(yè) IT 管理員的行業(yè)科技網(wǎng)站 CSO Online 發(fā)布報(bào)告稱微軟身份驗(yàn)證器存在嚴(yán)重的設(shè)計(jì)問題，當(dāng)用戶嘗試使用掃碼綁定 2FA 或 MFA 多因素驗(yàn)證時，可能會出現(xiàn)數(shù)據(jù)被覆蓋的問題，即現(xiàn)有賬戶的 2FA 數(shù)據(jù)被新添加的數(shù)據(jù)覆蓋導(dǎo)致無法登錄原來的賬戶。

這個問題其實(shí)已經(jīng)存在很多年，這是典型的設(shè)計(jì)問題但至今微軟都沒有徹底解決問題，尤其是隨著 2FA/MFA 的流行，越來越多的企業(yè)要求員工必須綁定多因素認(rèn)證，然后就出現(xiàn)問題的概率就更大了。

問題發(fā)生原因：

通常我們主要使用一個電子郵箱注冊各種網(wǎng)站的賬戶，當(dāng)掃碼添加 2FA 驗(yàn)證賬戶時，微軟不會校驗(yàn)是否存在同名賬戶問題，而是直接選擇了覆蓋。

也就是說當(dāng)已經(jīng)綁定 admin@landiannews.com 這個賬戶的 2FA 后，我們注冊其他網(wǎng)站仍然使用該郵箱并繼續(xù)掃碼綁定時，新賬戶的 2FA 數(shù)據(jù)會替代原來同名賬戶的數(shù)據(jù)。

用戶不會看出來有任何區(qū)別，因?yàn)楸旧?2FA 驗(yàn)證碼就是 30 秒鐘刷新一次的，只有在登錄時多次輸入驗(yàn)證碼始終出錯才意識到哪里出了問題。

這對企業(yè) IT 管理員來說是個非常痛苦的情況，他們經(jīng)常需要花時間幫助其他員工處理這個問題，但如果使用微軟身份驗(yàn)證器綁定微軟賬戶則不會出現(xiàn)同樣的問題，如果使用谷歌身份驗(yàn)證器也不會出現(xiàn)類似的問題。

從微軟身份驗(yàn)證器發(fā)布時就一直存在：

雖然已經(jīng)被報(bào)道過幾次但微軟始終沒有解決數(shù)據(jù)覆蓋問題，這個問題從微軟身份驗(yàn)證器在 2016 年發(fā)布時就存在，轉(zhuǎn)眼間已經(jīng)過去了八年。

如果用戶必須使用微軟身份驗(yàn)證器那也有辦法進(jìn)行規(guī)避，那就是輸入 TOTP 綁定的驗(yàn)證碼而不是使用掃碼添加，當(dāng)手動輸入綁定驗(yàn)證碼時你可以自己添加賬戶，此時不會出現(xiàn)自動覆蓋問題。

不過手動輸入 TOTP 綁定的驗(yàn)證碼解決方案并不適用于企業(yè)用戶，所以對企業(yè)用戶來說除了更換其他身份驗(yàn)證器外暫時也沒有太好的解決辦法。