Designfehler in Microsoft Authenticator überschreibt MFA-Konten und sperrt Nutzer aus

 (csoonline.com)
2 Punkte von GN⁺ 2024-08-18 | 1 Kommentare | Auf WhatsApp teilen

Probleme mit Microsoft Authenticator

  • Microsoft Authenticator hat ein Problem, bei dem beim Hinzufügen neuer Konten per QR-Code bestehende Konten überschrieben werden
  • Dadurch verlieren Nutzer den Zugriff auf ihre Konten und erleben erhebliche Unannehmlichkeiten
  • Die Ursache ist, dass Microsoft Authenticator zur Identifizierung von Konten nur den Benutzernamen verwendet
  • Andere Apps wie Google Authenticator vermeiden dieses Problem, indem sie zusätzlich den Ausstellernamen verwenden

Wie schwerwiegend das Problem ist

  • Microsoft Authenticator überschreibt Konten mit demselben Benutzernamen; das tritt häufig auf, weil oft E-Mail-Adressen als Benutzername verwendet werden
  • Wenn eine Überschreibung passiert, ist schwer nachzuvollziehen, welches Konto überschrieben wurde
  • Nutzer bemerken das Problem oft erst später, wenn sie das Konto verwenden wollen

Lösungswege

  • Die einfachste Lösung ist die Nutzung einer anderen Authenticator-App
  • Statt den QR-Code zu scannen, kann man den Code auch manuell eingeben
  • Das Problem besteht bereits seit der Veröffentlichung von Microsoft Authenticator im Jahr 2016

Nutzerbeschwerden

  • Seit 2020 gibt es Beschwerden über dieses Problem, doch Microsoft hat es nicht behoben
  • Die manuelle Eingabe der Informationen ist in Unternehmensumgebungen ineffizient

Der Fall Brett Randall

  • Der australische IT-Berater Brett Randall hat das Problem kürzlich auf LinkedIn geschildert
  • Er erklärte, dass Microsoft Authenticator beim Scannen eines QR-Codes TOTP-Schlüssel anderer Anwendungen überschreibt
  • Andere Authenticator-Apps erzeugen eine eindeutige ID, indem sie Aussteller und Label kombinieren, Microsoft verwendet jedoch nur das Label

Einschätzungen von Experten

  • Mehrere Sicherheits- und IT-Experten konnten das Problem reproduzieren
  • Tim Erlin, Vice President of Product bei Wallarm, sagte, dass Nutzer dadurch ausgesperrt werden und es sich um einen Designfehler handle
  • David Meltzer, Chief Product Officer bei Netography, hat das Problem selbst erlebt und betrachtet es als Bug

Microsofts Position

  • Microsoft betrachtet das Problem als Feature und schiebt die Verantwortung auf Nutzer oder Aussteller
  • Microsoft behauptet, Nutzern eine Meldung anzuzeigen, die bestätigt, ob Kontoeinstellungen überschrieben werden sollen
  • Diese Meldung lenkt Nutzer jedoch dazu, die Überschreibung fortzusetzen

Vorschläge zur Lösung

  • Brett Randall schlägt vor, entweder das otpauth aller Anwendungen zu prüfen oder das Problem von Microsoft beheben zu lassen
  • Beim Test von 14 verschiedenen Authenticator-Apps trat das Problem nur bei Microsoft Authenticator auf

Zusammenfassung von GN⁺

  • Microsoft Authenticator überschreibt beim Hinzufügen neuer Konten bestehende Konten
  • Das verursacht erhebliche Unannehmlichkeiten für Nutzer und Unternehmen, während andere Authenticator-Apps dieses Problem vermeiden können
  • Microsoft behebt das Problem nicht und schiebt die Verantwortung auf Nutzer oder Aussteller
  • Um das Problem zu vermeiden, wird die Nutzung einer anderen Authenticator-App empfohlen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-08-18
Hacker-News-Kommentare

  • Der Grund, Microsoft Authenticator zu wählen, ist, dass Microsoft die Nutzung praktisch erzwingt

    • Andere OTP-Apps können nicht verwendet werden, und es gibt kein Werkzeug, mit dem Administratoren das deaktivieren können
    • Der QR-Code ist kein standardkonformer TOTP-Code, weshalb andere Clients ihn ablehnen
    • Den eigentlichen TOTP-QR-Code erhält man nur über den Link „Andere App verwenden“

  • Sicherheits- und Usability-Probleme sind ein großes Problem

    • Es gibt viele Unannehmlichkeiten für Nutzer, etwa regelmäßige Passwortwechsel, komplexe Passwortregeln und nicht dokumentierte Passwortanforderungen
    • Wegen Schwachstellen im Sicherheitssystem selbst kommt es häufig zu Datenlecks

  • Eine von Microsoft erhaltene E-Mail sah wie Phishing aus

    • Man erhielt eine E-Mail zur Aktivierung von MFA, verwaltet aber tatsächlich keine mit Microsoft verbundene Organisation
    • In der E-Mail standen weder Name noch Organisationsname, sondern nur eine UUID

  • Zweifel daran, dass Microsoft Authenticator Einträge anhand von Labels speichert

    • Es wird kein interner Schlüssel erzeugt, und wenn eine Website keine Informationen in das Ausstellerfeld einträgt, entstehen Probleme
    • Es stellt sich die Frage, ob Microsoft intern den Authenticator überhaupt selbst verwendet

  • Erfahrung, durch einen Safari-Bug den Zugriff auf ein GitHub-Konto verloren zu haben

    • Safari hatte einen Bug, bei dem Passwörter ohne Warnung überschrieben wurden
    • Inzwischen ist das behoben, aber es gibt weiterhin einen Bug, bei dem Subdomains nicht unterschieden werden

  • Probleme beim Zugriff auf ein Google-Konto

    • Nach einem Wechsel von Land und Computer war kein Zugriff mehr auf das Google-Konto möglich
    • Auch mit der Wiederherstellungs-E-Mail-Adresse ließ sich das Problem nicht lösen
    • Dass man sich die Wiederherstellungs-E-Mail-Adresse wie ein Passwort merken muss, ist unerquicklich

  • Kritik an Microsofts Auswahl von Diensten

    • Microsoft wälzt die Verantwortung auf Nutzer und Kunden ab
    • Das Windows-Ökosystem ist komplexer geworden und schwieriger zu nutzen
    • Neue Funktionen für MS Teams kommen hinzu, aber bestehende Probleme werden nicht gelöst

  • Es ist möglich, mehrere Konten mit demselben Benutzernamen zu verwenden

    • Das könnte ein Designfehler sein, aber derselbe Benutzername kann auf verschiedenen Websites verwendet werden

  • Die Erstellung eines Hotmail-Kontos ist nicht barrierefrei für sehbehinderte Menschen

  • Problem, dass Microsoft Authenticator den Standort verfolgt

    • Standortverfolgung wird als das größere Problem wahrgenommen