Microsoft Authenticator App 存在安全问题 - 它可以批准来自锁定 iPhone 的请求吗？

我们正在使用 Microsoft Authenticator App 为受 Azure AD 保护的资源提供多重身份验证 (MFA)。

我注意到您可以通过在 iOS 上从锁定的 iPhone 屏幕上滑动推送通知来批准请求并批准登录请求。

这难道不安全吗？这意味着恶意攻击者可以通过预先认证的浏览器从锁定的手机访问多因素批准。

场景 A：

用户使用 Windows 中的 Azure AD 帐户登录 Windows 10。

1. Bad actor tries to open a resource, in my case through Visual Studio; just click the already authenticated account (no password required).

2. Swipe the push on the users device (not uncommon to be on a desk inside the office)

3. Tap approve and you're in!

场景 B：

用户的密码会自动填充到浏览器中。

1. The user open a resource, like Outlook Online, just click
login without entering password since it is auto-filled.

2. Swipe the push on the users device (not uncommon to be on a desk inside the office)

3. Tap approve and you're in!

更新：

我还可以打开 Internet Explorer 和 Edge 并直接进入 O365，而无需输入密码，只需有一台计算机（没有登录密码）和一台锁定的 iPhone。

在锁定屏幕上查看（瑞典语）：