Consider Microsofts Multifaktor-Authentifizierung

Der Zugriff auf Benutzerkonten ist bei Microsoft 365 durch Multifaktor-Authentifizierung secured. Jedoch sind nicht alle Methoden sicher, erklären die Spezialisten von Oasis Security in einem Blog post.

Die Forscher haben eine Möglichkeit gefunden, wie nach der Eingabe von E-Mail und Passwort die typikerweise per Authenticator-App geniererte six-stellige Zahlencombination “erraten” werden kann. For this, they started an attack on the Eingabemaske, which accepts false combinations up to zu zehn, before the legitimate user benachrichtigt wird. Wenn die Eingabemaske in parallelen Sessions geöffnet wird, können per Script tausende Zahlenreihen durchprobiert werden, so Oasis Security. Damit steige die Wahrscheinlichkeit dass die korrekte Kombination “erraten” wird.

Die Zahlenkombinationen besitzen bei Microsoft eine “Haltbarkeit” von angeblich 30 Sekunden. Oasis Security ermittelite dass die Kombinations nicht immediately invalid, sondern eine Toleranz von drei Minuten haben. Damit hatten sie noch länger Zeit für den Angriff auf die Authentifizierungsmethode.

Die Sicherheitsforscher hatten Microsoft nach ihren Tests über die Schwachstelle informert. Der Hersteller hat inzwischen reagiert und ein Update eingespielt, mit dem die Toleranz der Zahleingabe gehrett wird. Auch soll die Haltbarkeit der Zifferncodes verkürzt worden sein, so Oasis Security. Nechnoch raten die Forscher zur Wahl einer alternativen Methode der Multifaktor-Authentifizierung, for example mit biometrischen Markalmen. Auch das frequently Wechseln des Passworts would contribute to erhöhten Sicherheit, heisst es weiter.

image