.
A Microsoft lançou a ‘correspondência de números’ em notificações push para seu aplicativo de autenticação multifator (MFA) Microsoft Authenticator.
O novo recurso avançado está geralmente disponível no Microsoft Authenticator e deve ajudar a combater ataques à MFA que dependem de spam de notificação por push.
Pesquisadores no início deste ano identificaram os chamados ‘ataques de fadiga de MFA’ em usuários do Office 365, onde os invasores acionam repetidamente notificações push de MFA enquanto tentam fazer login na conta de uma vítima com uma senha já comprometida. O invasor espera que em algum momento a vítima esteja cansada ou distraída o suficiente pelas notificações para aprovar acidentalmente a tentativa de login.
Também: iPhone 14 Pro vs. iPhone 13 Pro: o iPhone mais novo vale a atualização?
Com a correspondência de números habilitada, o aplicativo Authenticator exige que o usuário digite o número exibido na tela de logon ao aprovar uma solicitação de MFA, em vez de apenas pressionar ‘aprovar’. Esse será um recurso útil para administradores cujos usuários foram pegos por esse ataque ao MFA.
Por enquanto, os administradores podem habilitar a correspondência de números no Authenticator, mas a Microsoft planeja torná-lo o padrão para todos os usuários do Authenticator em fevereiro de 2023, de acordo com Alex Weinert, vice-presidente de segurança de identidade da Microsoft.
Os administradores também podem usar configurar o Autenticador para usar o contexto de localização e o contexto do aplicativo para evitar aprovações acidentais.
A Microsoft publicou instruções para configurar a correspondência de números, que pode ser habilitada por grupo ou outros filtros, e observa que a correspondência de números não é compatível com as notificações do Apple Watch. Os controles de implantação do administrador serão removidos depois que a correspondência de números se tornar o padrão para o aplicativo Autenticador.
Além disso, agora o Authenticator no iOS usa o App Transport Security (ATS), um recurso de segurança que a Apple introduziu no iOS 9 em 2015 para impor conexões seguras pela Internet. No entanto, o ATS precisa ser ativado por desenvolvedores e pesquisadores de aplicativos em 2019, descobriram que 67% dos 30.000 aplicativos digitalizados tinham o ATS completamente desativado.
.
