Misalnya, penjahat dunia maya mengelabui korban agar memberikan akses yang diminta karena putus asa dengan mengirimkan banyak pesan push dengan permintaan autentikasi. Microsoft Authenticator, yang dapat memproses pesan push ini dari Layanan Microsoft di AD atau Azure, hanya diminta untuk menekan tombol Edit. Untuk melindungi dari serangan kelelahan ini, Microsoft kini telah mengaktifkan Pencocokan Angka secara default pada instans Azure dengan pemberitahuan push Authenticator.
Pengguna sekarang harus memasukkan nomor yang ditampilkan pada layar login di Smartphone Authenticator. Ini untuk menangkal serangan burnout dengan permintaan pembayaran yang tak terhitung jumlahnya.
(Gambar: Microsoft)
Preset baru aktif sejak Senin minggu ini, Microsoft menjelaskan dalam manual. Sekarang, mengklik tombol saja tidak cukup untuk berbagi akses ke halaman atau layanan. Sekarang pengguna harus beralih ke layar login dan memasukkan nomor yang ditampilkan di autentikator smartphone.
Microsoft Authenticator: Pencocokan angka terhadap serangan kelelahan
Di masa lalu, scammer telah berulang kali berhasil melakukan spamming kepada korban dengan begitu banyak permintaan sehingga mereka merasa kesal dan mengizinkan akses. Ini memberi pengguna ketenangan pikiran lagi. Namun, ini memberi penyerang akses ke sistem yang seharusnya tidak mereka miliki.
Tekan sederhana “OK” dan serangan “MFA Fatigue” berakhir. Namun, penyerang dapat memperoleh akses ke layanan tersebut.
(Gambar: Microsoft)
Dengan angka yang dibandingkan, banjir pertanyaan tidak lagi masuk akal. Setiap permintaan menerima kumpulan nomornya sendiri yang harus dimasukkan oleh korban. Pengguna harus memasukkan nomor yang ditampilkan dari layar login autentikator untuk mengaktifkan akses.
Dalam panduan ini, Microsoft mencakup konfigurasi dan opsi yang tersedia untuk administrator Azure AD. Misalnya, mereka dapat menggunakan ini untuk menonaktifkan kembali perbandingan angka untuk saat ini. Informasi tambahan seperti fakta bahwa server MFA tidak mendukung pencocokan nomor juga dapat ditemukan karena sudah usang. Hal yang sama berlaku untuk versi Microsoft Authenticator yang lebih lama – mereka harus diperbarui untuk mendukung Pencocokan Angka. Versi otentikasi yang tidak terlalu lama memungkinkan untuk berbagai perbandingan angka, karena satu dari tiga angka harus dipilih. Itu masih berfungsi, tetapi Microsoft sangat menyarankan Anda memperbarui ke versi terbaru.
Microsoft hanya tidak menerapkan mekanisme perlindungan ekstra dengan membandingkan angkanya. itu CISA Nama penyedia layanan lainnya Seperti Duo dengan “Push Terverifikasi” atau Okta dengan “TOTP”, yang dapat memaksa string tambahan untuk dicocokkan dalam permintaan push.
(DMK)
“Coffee pioneer. Social media ninja. Unrepentant web teacher. Friendly music fan. Alcohol fanatic.”
More Stories
Intel dilaporkan ingin menghadapi Strix Halo AMD dengan GPU raksasanya sendiri di prosesornya
Pembaruan BIOS: Penyerang dapat menonaktifkan Boot Aman pada laptop Alienware
Hari khusus perempuan di Oberhausen