Door Anoniem: Als je MFA device of app nou gewoon een code displayed die je op het login scherm in moet tikken (in een 2e password veld bijvoorbeeld) dan is er niks aan de hand als men je MFA requests stuurt, want je hebt dan niks om ze in te tikken.
Aanvankelijk dacht ik dat "Number Matching" in de Microsoft Authenticator app zo werkte, maar het is andersom - en dat is verstandiger. Want als de app een getal zou tonen dat de inlogger op de website moet invoeren, zou een aanvaller het getal (wat de echte gebruiker ziet in diens app) kunnen blijven gokken tot dat toevallig een keer klopt (met nog meer push-berichten als gevolg).
Het is echter zo dat als de echte gebruiker of een aanvaller probeert in te loggen, de
website een getal van 2 cijfers toont. De echte gebruiker krijgt een melding uit de MS Authenticator app op diens smartphone, en moet
in de app die twee cijfers invoeren om in te kunnen loggen.
Als het niet de echte gebruiker is die inlogt, weet die echte gebruiker niet wat er op het inlogscherm staat. Je kunt natuurlijk niet helemaal uitsluiten dat de echte gebruiker de pings
zó zat wordt dat deze random getallen in de app gaat invullen om er vanaf te komen (of dat de aanvaller op de een of andere manier in contact kan komen met de echte gebruiker en hem of haar met een smoes overhaalt om het juiste getal in te voeren), maar de kans daarop lijkt mij kleiner dan zonder "number matching".
Ik weet niet precies hoe het werkt, maar ik hoop dat de inlogpagina op de website het random getal van twee cijfers
ook toont als de aanvaller een
onjuist wachtwoord probeert (en dat er dan geen ping naar de MS Authenticator app wordt gestuurd - met onnodige MFA-fatigue als gevolg). Immers, als het random getal
alleen zou worden getoond als het wachtwoord klopt (bij een gegeven user-ID), weet de aanvaller het zodra hij of zij het juiste wachtwoord heeft geprobeerd.
Als het zo geïmplementeerd is (wat ik verwacht), moeten gebruikers beseffen dat hun wachtwoord geraden is als MS Authenticator hen pingt. Als iedereen te vertrouwen zou zijn, zouden we geen wachtwoorden en MFA-ellende nodig hebben. Security Awareness is dus ook dat inloggen, net zoals het met een sleutel openen van jouw voordeur, in de eerste plaats bedoeld is om kwaadwillenden buiten te houden.
Helaas is MS Authenticator met number matching geen veilige oplossing: het biedt geen bescherming tegen phishing met valse (proxy/AitM) websites. Als password spraying + MFA fatigue niet meer werkt, zullen cybercriminelen hun werkwijze aanpassen. Ik verwacht dan ook dat het aantal aanvallen met fake websites, fake popups (browser in browser) en client-side attacks zal toenemen, en daar helpt MS Authenticator niet tegen.