Назад | Перейти на главную страницу

Проблемы безопасности с приложением Microsoft Authenticator - оно может утверждать запросы с заблокированного iPhone?

Мы используем приложение Microsoft Authenticator для обеспечения многофакторной аутентификации (MFA) для ресурсов, защищенных Azure AD.

Я заметил, что вы можете одобрить запрос, проведя push-уведомление с заблокированного экрана iPhone на iOS и утвердив запрос на вход.

Разве это не небезопасно? Это означает, что злоумышленник может получить доступ к многофакторному утверждению с заблокированного телефона из браузера, который предварительно аутентифицирован.

Сценарий А:

Пользователь вошел в систему в Windows 10 с учетной записью Azure AD в Windows.

1. Bad actor tries to open a resource, in my case through Visual Studio; just click the already authenticated account (no password required).

2. Swipe the push on the users device (not uncommon to be on a desk inside the office)

3. Tap approve and you're in!

Сценарий B:

Пользователь автоматически заполняет пароль в своем браузере.

1. The user open a resource, like Outlook Online, just click
login without entering password since it is auto-filled.

2. Swipe the push on the users device (not uncommon to be on a desk inside the office)

3. Tap approve and you're in!

ОБНОВИТЬ:

Я также могу открыть Internet Explorer и Edge и попасть прямо в O365, даже не вводя пароль, просто имея компьютер (без пароля для входа) и заблокированный iPhone.

Просмотр на заблокированном экране (на шведском языке):

Если я понимаю ваш сценарий, злоумышленник украл и ноутбук, и iPhone (который, по-видимому, в Швеции хранится вместе с ноутбуком), и вы не настроили параметры автозаполнения или хранения паролей в Edge. Вы также не настроили конфиденциальный контент в настройках экрана блокировки.

Но вы утверждаете, что проблема в приложении MFA ...

Ваша логика кажется ошибочной. Самая очевидная проблема заключается в том, что держать iPhone и ноутбук вместе - это не то, что нужно MFA. Приложение должно быть на устройстве отдельно от ноутбука.

Это в основном противоречит цели МИД. Таким образом, мы больше не используем СМС.

Вы должны предотвратить это, скрыв конфиденциальный контент с экрана блокировки (встроенная функция iOS).

То, как активировать это централизованно, зависит от используемого вами программного обеспечения для управления устройствами - Afaria, AirWatch или другого.