Мы используем приложение Microsoft Authenticator для обеспечения многофакторной аутентификации (MFA) для ресурсов, защищенных Azure AD.
Я заметил, что вы можете одобрить запрос, проведя push-уведомление с заблокированного экрана iPhone на iOS и утвердив запрос на вход.
Разве это не небезопасно? Это означает, что злоумышленник может получить доступ к многофакторному утверждению с заблокированного телефона из браузера, который предварительно аутентифицирован.
Сценарий А:
Пользователь вошел в систему в Windows 10 с учетной записью Azure AD в Windows.
1. Bad actor tries to open a resource, in my case through Visual Studio; just click the already authenticated account (no password required).
2. Swipe the push on the users device (not uncommon to be on a desk inside the office)
3. Tap approve and you're in!
Сценарий B:
Пользователь автоматически заполняет пароль в своем браузере.
1. The user open a resource, like Outlook Online, just click
login without entering password since it is auto-filled.
2. Swipe the push on the users device (not uncommon to be on a desk inside the office)
3. Tap approve and you're in!
ОБНОВИТЬ:
Я также могу открыть Internet Explorer и Edge и попасть прямо в O365, даже не вводя пароль, просто имея компьютер (без пароля для входа) и заблокированный iPhone.
Просмотр на заблокированном экране (на шведском языке):
Если я понимаю ваш сценарий, злоумышленник украл и ноутбук, и iPhone (который, по-видимому, в Швеции хранится вместе с ноутбуком), и вы не настроили параметры автозаполнения или хранения паролей в Edge. Вы также не настроили конфиденциальный контент в настройках экрана блокировки.
Но вы утверждаете, что проблема в приложении MFA ...
Ваша логика кажется ошибочной. Самая очевидная проблема заключается в том, что держать iPhone и ноутбук вместе - это не то, что нужно MFA. Приложение должно быть на устройстве отдельно от ноутбука.
Это в основном противоречит цели МИД. Таким образом, мы больше не используем СМС.
Вы должны предотвратить это, скрыв конфиденциальный контент с экрана блокировки (встроенная функция iOS).
То, как активировать это централизованно, зависит от используемого вами программного обеспечения для управления устройствами - Afaria, AirWatch или другого.