Vì sao Microsoft Authenticator khóa tài khoản của người dùng?

Với việc sử dụng xác thực đa yếu tố (MFA) ngày càng gia tăng, người dùng cuối có thể thấy mình thường xuyên phải loay hoay với các mã và ứng dụng xác thực trong suốt cả ngày. Đối với những người dựa vào Microsoft Authenticator (một ứng dụng miễn phí giúp người dùng đăng nhập vào tất cả các tài khoản mà không cần sử dụng mật khẩu - chỉ cần sử dụng dấu vân tay, nhận dạng khuôn mặt hoặc mã PIN), trải nghiệm còn có thể là sự hoảng loạn khi họ bị khóa tài khoản.

Nguyên nhân là do sự cố liên quan đến các trường sử dụng, Microsoft Authenticator thường ghi đè lên các tài khoản khi người dùng thêm tài khoản mới thông qua quét QR - phương pháp phổ biến nhất để thực hiện việc này.

Nhưng vì cách thức khóa xảy ra, người dùng có thể không nhận ra vấn đề nằm ở Microsoft Authenticator. Thay vào đó, công ty phát hành xác thực được coi là thủ phạm, dẫn đến lãng phí thời gian của bộ phận trợ giúp doanh nghiệp (DN) để cố gắng khắc phục sự cố không phải do công ty đó gây ra.

Cốt lõi của vấn đề là gì?

Microsoft Authenticator sẽ ghi đè lên một tài khoản có cùng tên người dùng. Do việc sử dụng địa chỉ email làm tên người dùng phổ biến, hầu hết các ứng dụng của người dùng đều chia sẻ cùng một tên người dùng. Google Authenticator và hầu hết mọi ứng dụng xác thực khác đều thêm tên của bên phát hành - chẳng hạn như ngân hàng - để tránh vấn đề ghi đè này. Trong khi Microsoft chỉ sử dụng tên người dùng.

Tệ hơn nữa là khi hiện tượng ghi đè của Microsoft xảy ra, không dễ để người dùng xác định được tài khoản nào đang bị ghi đè. Điều này có thể gây ra sự cố xác thực với cả tài khoản mới tạo và tài khoản bị ghi đè. Hơn nữa, người dùng có khả năng không nhận ra tài khoản đã tạo trước đó đã bị xóa cho đến khi họ cố gắng sử dụng lại, dù là sau nhiều tuần hay nhiều tháng.

Có nhiều giải pháp thay thế. Cách dễ nhất là sử dụng các ứng dụng xác thực khác. Không sử dụng tính năng quét mã QR - và nhập mã thủ công - cũng sẽ tránh được vấn đề này, điều này dường như không phát sinh khi các tài khoản đã xác thực thuộc về Microsoft.

Trang CSO Online đã phát hiện các khiếu nại về vấn đề này có từ năm 2020, nhưng có vẻ như nó đã tồn tại kể từ khi Microsoft Authenticator được phát hành vào tháng 6/2016. (Để so sánh, Google là ứng dụng Authenticator đầu tiên được ra mắt vào năm 2010).

Một khiếu nại như vậy vào năm 2020 đã lưu ý giải pháp thay thế là nhập thông tin theo cách thủ công, nhưng giải pháp này đã bị bác bỏ vì không khả thi đối với DN.

“Giải pháp tạm thời cho vấn đề này là sử dụng khóa bí mật từ Nhà cung cấp danh tính và nhập thủ công khóa này vào ứng dụng Authenticator trong quá trình thiết lập”, người khiếu nại viết . “Thật không may, điều này không hữu ích lắm trong môi trường DN, đặc biệt là khi người dùng cuối hiếm khi biết bất cứ điều gì về hoạt động bên trong của xác thực, và việc nhìn thấy một chuỗi ký tự ngẫu nhiên sẽ là thật đáng sợ”.

Một vấn đề lớn về khả năng sử dụng và an ninh mạng

Vấn đề nói trên gần đây đã thu hút được sự chú ý khi chuyên gia tư vấn CNTT người Úc Brett Randall đăng một bài có liên quan trên LinkedIn.

Trong bài đăng của mình, Randall mô tả việc tham gia một buổi đào tạo của nhà cung cấp gần đây: “Khi chúng tôi đăng nhập vào hệ thống của họ, chúng tôi được cung cấp một mã QR để quét MFA. Một số người tham dự đã mở Microsoft Authenticator, quét mã QR và tiến hành ghi đè khóa TOTP (Mật khẩu một lần theo thời gian) của một ứng dụng khác”, Randall viết.

“Đây là cách hoạt động, và cũng là cách thức hoạt động của mọi ứng dụng xác thực khác - Google, Okta, v.v... - Khi người dùng quét mã QR để tìm MFA, ứng dụng sẽ tạo ra một chuỗi với một loạt các giá trị. Các ứng dụng khác lấy hai trong số các giá trị này - nhãn và đơn vị phát hành - và ghép chúng lại với nhau để tạo thành ID duy nhất cho khóa đó. Mặt khác, Microsoft bỏ qua tiêu chuẩn và chỉ lấy một giá trị - nhãn. Và đó thường là địa chỉ email của người dùng. Điều đó có nghĩa là Microsoft Authenticator sẽ ghi đè khóa TOTP cuối cùng sử dụng cùng một địa chỉ email. Điều này có thể sẽ gây ra thảm họa".

Ông nói thêm: "Thật buồn khi chứng kiến ​​một căn phòng đầy người mất quyền truy cập vào các hệ thống khác khi họ dần quét mã QR và Microsoft Authenticator ghi đè lên khóa của họ vào các hệ thống khác. Nhưng cố gắng để Microsoft nhận ra vấn đề và làm gì đó về nó? Điều đó gần như là không thể".

“Gánh nặng của bộ phận trợ giúp không hề nhỏ. Đây là một trong những lỗi mà tôi nghĩ là do thiết kế”, Gary Longsine, Giám đốc công nghệ tại IllumineX cho biết. “Về việc giới thiệu ứng dụng Microsoft Authenticator? Tôi sẽ không giới thiệu nó cho bất kỳ ai vì lý do đó".

Tim Erlin, Phó chủ tịch sản phẩm tại Wallarm, cho biết, “Người dùng sẽ bị khóa và cần phải đăng nhập lại. Khi bạn thêm một mục nhập sử dụng địa chỉ email, mục nhập thứ hai sẽ xung đột. Và khi đã bị ghi đè, bạn sẽ không biết mục nhập nào đã bị ghi đè".

Erlin suy đoán rằng vấn đề này ban đầu xảy ra do sự mất kết nối lịch sử giữa các kỹ sư bảo mật và người dùng cuối. "Đây là một ví dụ nhỏ về một vấn đề lớn về khả năng sử dụng và an ninh mạng. Đây là điều xảy ra khi các ứng dụng được phát triển bởi các kỹ sư không có kiến ​​thức sâu rộng về khách hàng", ông nói, đồng thời nói thêm rằng, Microsoft không bận tâm đến việc sửa lỗi vì Microsoft Authenticator là một sản phẩm miễn phí và do đó nó không tạo ra doanh thu.

David Meltzer, giám đốc sản phẩm tại Netography, đã tái tạo vấn đề này và thấy khó chịu. “Tôi đã thử điều này để tự mình trải nghiệm. Rõ ràng đây là lỗi. Đây là một vấn đề khá dễ sửa [đối với Microsoft]. Mọi trình xác thực khác đều có thể xử lý được.”

Khi được yêu cầu bình luận, người phát ngôn của Google Kimberly Samra đã viết rằng "đúng là chúng tôi không ghi đè mã. Đó là một quyết định rõ ràng".

Trong khi đó, Microsoft cho biết người dùng và nhà phát hành phải chịu trách nhiệm. Microsoft đã xác nhận sự cố nhưng cho biết đây là tính năng chứ không phải lỗi, và rằng đó là lỗi của người dùng hoặc công ty sử dụng ứng dụng để xác thực.

Liên quan đến vấn đề này, Microsoft đã đưa ra tuyên bố với nội dung: "Chúng tôi có thể xác nhận rằng ứng dụng xác thực của chúng tôi đang hoạt động như mong đợi. Khi người dùng quét mã QR, họ sẽ nhận được lời nhắc tin nhắn yêu cầu xác nhận trước khi tiến hành bất kỳ hành động nào có thể ghi đè lên cài đặt tài khoản của họ. Điều này đảm bảo rằng người dùng hoàn toàn nhận thức được những thay đổi mà họ đang thực hiện".

“

Tài liệu tham khảo:
1. https://www.csoonline.com/arti...
2. https://learn.microsoft.com/en...
3. https://www.linkedin.com/posts...