微软 MFA 多重验证系统遭遇 AuthQuake 攻击漏洞:黑客或可破解动态码,系统安全遭挑战
MFA多重验证系统安全岌岌可危!黑客或能轻松破解动态码,网络安全面临严峻挑战
数界探索
12月15日消息,安全公司Oasis发现微软的MFA(多重身份验证)系统中存在一个名为AuthQuake的重大漏洞。该漏洞让黑客可以通过暴力破解验证码的方式绕过验证流程,进而访问用户的账户。据安全公司透露,若此漏洞被黑客利用,可能会造成广泛的影响。
根据报告了解到的情况,该漏洞主要影响微软的多因素认证账号验证器动态码系统。通常情况下,如果用户想在PC网页端登录微软账号,需要使用与微软账号绑定的验证器应用程序生成6位一次性密码(OTP),并在有效期内输入以完成身份验证。如果用户连续输入错误超过10次,系统将会暂时阻止其登录。
然而研究人员发现,这一认证机制实际上并未对验证频率进行限制,这意味着黑客若使用高性能计算机,在用户通过手机App验证动态验证码的短暂时间内,可以迅速创建多个新会话,短时间内尝试所有可能的验证密码组合(共计100万种),从而成功实施暴力破解,控制用户的账户。
研究人员称,他们已经利用该漏洞成功规避了MFA多重身份验证,整个测试过程耗时约一小时,并且在此期间系统没有向受害者发出任何警告。Oasis已在本年6月下旬向微软报告了这一问题。在双方的合作下,微软分别于7月和10月对漏洞进行了修补和缓解措施。
研究人员指出,微软账号系统出现安全问题的原因在于其设计手机App验证码时考虑到了动态密码每30秒会刷新一次。然而,认证系统与用户的实际访问时间之间存在延迟,因此微软延长了验证码的有效时长,最长可达3分钟。这种设计虽然提高了用户体验,但同时也为黑客提供了进行暴力破解攻击的机会。 这种为了用户体验而牺牲部分安全性的做法值得我们深思。在当今网络环境日益复杂的背景下,确保用户账户的安全性显得尤为重要。企业应当在用户体验和安全性之间找到一个平衡点,既要保证用户操作的便捷性,又要尽可能减少安全隐患。此外,对于已经存在的问题,企业应尽快采取措施,如优化认证流程或加强其他安全机制,以保护用户的账号安全。