Microsoft Authenticator की खामी से MFA अकाउंट ओवरराइट, उपयोगकर्ता लॉक आउट

 (csoonline.com)
2 पॉइंट द्वारा GN⁺ 2024-08-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें

Microsoft Authenticator की समस्या

  • Microsoft Authenticator में QR code से नया अकाउंट जोड़ते समय मौजूदा अकाउंट ओवरराइट होने की समस्या है
  • इसके कारण उपयोगकर्ता अपने अकाउंट तक पहुंच नहीं बना पाते और उन्हें बड़ी असुविधा होती है
  • इस समस्या की वजह यह है कि Microsoft Authenticator अकाउंट की पहचान के लिए केवल username का उपयोग करता है
  • Google Authenticator जैसे दूसरे ऐप issuer के नाम को भी जोड़ते हैं, जिससे यह समस्या टल जाती है

समस्या की गंभीरता

  • Microsoft Authenticator एक ही username वाले अकाउंट को ओवरराइट कर देता है, और यह अक्सर तब होता है जब email address को username के रूप में इस्तेमाल किया जाता है
  • ओवरराइट होने पर यह पता लगाना मुश्किल होता है कि कौन-सा अकाउंट बदला गया
  • उपयोगकर्ताओं को आमतौर पर इस समस्या का पता तब चलता है जब वे बाद में उस अकाउंट का उपयोग करने की कोशिश करते हैं

समाधान के तरीके

  • किसी दूसरे authenticator ऐप का उपयोग करना सबसे आसान समाधान है
  • QR code scan करने के बजाय code को manually दर्ज करने का तरीका भी अपनाया जा सकता है
  • यह समस्या Microsoft Authenticator के 2016 में लॉन्च होने के समय से मौजूद है

उपयोगकर्ताओं की शिकायतें

  • 2020 से इस समस्या को लेकर शिकायतें उठती रही हैं, लेकिन Microsoft ने इसे ठीक नहीं किया
  • जानकारी manually दर्ज करने का तरीका enterprise environment में अप्रभावी है

Brett Randall का मामला

  • ऑस्ट्रेलिया के IT consultant Brett Randall ने हाल ही में इस समस्या को LinkedIn पर पोस्ट किया
  • उन्होंने बताया कि QR code scan करते समय Microsoft Authenticator दूसरे application की TOTP key को ओवरराइट कर देता है
  • दूसरे authenticator ऐप issuer और label को मिलाकर unique ID बनाते हैं, जबकि Microsoft केवल label का उपयोग करता है

विशेषज्ञों की राय

  • कई security और IT experts इस समस्या को दोबारा उत्पन्न कर सके
  • Wallarm के VP of Product Tim Erlin ने कहा कि इस समस्या से उपयोगकर्ता लॉक हो जाते हैं और यह एक design flaw है
  • Netography के Chief Product Officer David Meltzer ने कहा कि उन्होंने खुद इस समस्या का अनुभव किया है और वे इसे bug मानते हैं

Microsoft का रुख

  • Microsoft इस समस्या को एक feature मानता है और इसकी जिम्मेदारी उपयोगकर्ता या issuer पर डालता है
  • Microsoft का कहना है कि वह उपयोगकर्ताओं को यह पुष्टि संदेश दिखाता है कि क्या वे account setting को ओवरराइट करना चाहते हैं
  • लेकिन यह संदेश व्यवहार में उपयोगकर्ता को ओवरराइट जारी रखने की ओर ही ले जाता है

सुझाए गए उपाय

  • Brett Randall ने सुझाव दिया कि या तो सभी applications के otpauth का audit किया जाए या Microsoft इस समस्या को ठीक करे
  • 14 अलग-अलग authenticator ऐप के परीक्षण में केवल Microsoft Authenticator में यह समस्या पाई गई

GN⁺ की संक्षिप्त टिप्पणी

  • Microsoft Authenticator में नया अकाउंट जोड़ते समय मौजूदा अकाउंट ओवरराइट होने की समस्या है
  • यह समस्या उपयोगकर्ताओं और कंपनियों दोनों के लिए बड़ी असुविधा पैदा करती है, जबकि दूसरे authenticator ऐप इससे बच सकते हैं
  • Microsoft ने इस समस्या को ठीक नहीं किया और जिम्मेदारी उपयोगकर्ता या issuer पर डाल दी
  • इस समस्या से बचने के लिए किसी दूसरे authenticator ऐप का उपयोग करने की सिफारिश की जाती है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-08-18
Hacker News राय

  • Microsoft Authenticator को चुनने की वजह यह है कि Microsoft इसे मजबूरी में इस्तेमाल करवाता है

    • यह दूसरे OTP apps इस्तेमाल नहीं करने देता, और admins को इसे disable करने का कोई tool भी नहीं देता
    • QR code standard TOTP नहीं होता, इसलिए दूसरे clients इसे reject कर देते हैं
    • असली TOTP QR code केवल use another app लिंक के ज़रिए ही मिल सकता है

  • security और usability की समस्याएँ बड़ा मुद्दा हैं

    • password बदलने की अवधि, complex password rules, undocumented password requirements जैसी कई असुविधाएँ users को झेलनी पड़ती हैं
    • security system की अपनी कमजोरियों की वजह से data leaks बार-बार होते रहते हैं

  • Microsoft से मिला email phishing जैसा लग रहा था

    • MFA enable करने का email मिला, लेकिन वास्तव में मैं Microsoft से जुड़ी किसी organization को manage नहीं करता था
    • email में नाम या organization का नाम नहीं था, सिर्फ UUID शामिल था

  • Microsoft Authenticator के label-based entries save करने के तरीके पर सवाल

    • यह internal key generate नहीं करता, और अगर website issuer field में जानकारी नहीं डालती तो समस्या होती है
    • शक है कि Microsoft अंदरूनी तौर पर सच में Authenticator का इस्तेमाल भी करता है या नहीं

  • Safari के bug की वजह से GitHub account access खोने का अनुभव

    • Safari में एक bug था जो बिना warning password overwrite कर देता था
    • अब इसे fix कर दिया गया है, लेकिन अभी भी subdomains में फर्क न कर पाने वाला bug मौजूद है

  • Google account access की समस्या

    • देश और computer बदलने के बाद Google account access नहीं हो पाया
    • recovery email address इस्तेमाल करने पर भी समस्या हल नहीं हुई
    • recovery email address को password की तरह याद रखना पड़ना असुविधाजनक है

  • Microsoft की service choices पर आलोचना

    • Microsoft जिम्मेदारी users और clients पर डाल देता है
    • Windows ecosystem ज़्यादा complex और इस्तेमाल में कठिन होता जा रहा है
    • MS Teams में नई features जुड़ती रहती हैं, लेकिन पुरानी समस्याएँ हल नहीं होतीं

  • एक ही username वाले कई accounts इस्तेमाल किए जा सकते हैं

    • यह design flaw हो सकता है, लेकिन अलग-अलग sites पर एक ही username इस्तेमाल किया जा सकता है

  • Hotmail account बनाना visually impaired users के लिए अनुकूल नहीं है

  • Microsoft Authenticator द्वारा location track करने की समस्या

    • location tracking को और बड़ा मुद्दा माना गया