我们正在使用 Microsoft Authenticator App 为受 Azure AD 保护的资源提供多重身份验证 (MFA)。
我注意到您可以通过在 iOS 上从锁定的 iPhone 屏幕上滑动推送通知来批准请求并批准登录请求。
这难道不安全吗?这意味着恶意攻击者可以通过预先认证的浏览器从锁定的手机访问多因素批准。
场景 A:
用户使用 Windows 中的 Azure AD 帐户登录 Windows 10。
1. Bad actor tries to open a resource, in my case through Visual Studio; just click the already authenticated account (no password required).
2. Swipe the push on the users device (not uncommon to be on a desk inside the office)
3. Tap approve and you're in!
场景 B:
用户的密码会自动填充到浏览器中。
1. The user open a resource, like Outlook Online, just click
login without entering password since it is auto-filled.
2. Swipe the push on the users device (not uncommon to be on a desk inside the office)
3. Tap approve and you're in!
更新:
我还可以打开 Internet Explorer 和 Edge 并直接进入 O365,而无需输入密码,只需有一台计算机(没有登录密码)和一台锁定的 iPhone。
在锁定屏幕上查看(瑞典语):
答案1
如果我理解您的情况,那么攻击者窃取了用户的笔记本电脑和 iPhone(在瑞典,iPhone 显然与笔记本电脑一起存储),并且您没有在 Edge 中配置自动填充或密码存储设置。您也没有在锁屏设置中配置任何敏感内容。
但您的论点是 MFA 应用程序存在问题......
您的逻辑似乎存在缺陷。最明显的问题是,将 iPhone 和笔记本电脑放在一起违背了 MFA 的意义。该应用应该放在与笔记本电脑不同的设备上。
答案2
是的,这基本上违背了 MFA 的目的。也就是说我们不再使用短信了。
您应该通过隐藏锁定屏幕的敏感内容(iOS 的内置功能)来防止这种情况。
如何集中激活此功能取决于您使用的设备管理软件 - Afaria、AirWatch 或其他。