Autor: Evan Schuman
Autorska prava: Ed Hardie / Unsplash
Microsoft je u utorak potvrdio da je konačno ispravio uznemirujući kvar koji je korisnicima Authenticator-a zaključavao njihove naloge – nešto što je skoro svaka druga aplikacija za autentifikaciju izbegavala već od početka.
Pošto je osam godina ignorisao pritužbe korisnika o propustu u dizajnu bezbednosti u okviru Microsoft Authenticator-a, Microsoft je u utorak u e-poruci CSO potvrdio da je konačno ispravio problem. CSO Online je prošlog meseca opisao detalje tog nedostatka.
U pitanju je bio previd naizgled jedinstven za Microsoftov pristup uvođenju novih naloga u svoju aplikaciju autentifikatora. Ograničavanjem broja polja koje Authenticator uzima u obzir prilikom dodavanja naloga putem QR kodova, neki korisnici koji su se identifikovali putem adrese e-pošte mogli su da budu zaključani sa naloga jer bi Authenticator preko njihovog naloga prepisao drugi nalog sa istim korisničkim imenom.
Druge aplikacije za autentifikaciju, uključujući Google Authenticator, Okta Verify, LastPass Authenticator, Salesforce Authenticator i skoro svaka druga autentična aplikacija, dizajnirane su tako da u polja dodaju ime izdavaoca kako bi se izbegao ovaj problem.
Microsoft je tiho izbacio svoje rešenje prošle nedelje, (10. ili 11. septembra, u zavisnosti od geografije). Zakrpa je uključena u 6.8.15 za iOS i 6.2409.6094 za Android. Neki korisnici iOS-a su primetili da se zakrpa nije automatski primenila i da su morali da odu u App Store svog telefona i ručno pokrenu ažuriranje.
U svom imejlu sa potvrdom o popravci upućenom CSO u utorak, Microsoft je izjavio: „Poboljšanja pomažu boljem razlikovanju naloga drugih izvora za jednokratnu lozinku (TOTP) unutar korisničkog interfejsa kada se doda novi nalog. Korisnici koji imaju postojeći nalog sa istim imenom kao i novi nalog će dobiti upit koji im omogućava da preimenuju novi nalog kako bi sprečili kolizije naloga.“
Microsoft ne pominje zašto je bilo potrebno toliko godina da se ovo popravi, niti zašto je prvobitno dizajnirao aplikaciju na taj način.
Bolje ikad nego nikad
Australijski konsultant za bezbednost Brett Randal izveštavao je o bezbednosnoj rupi tokom nekoliko meseci i rekao da je video više od 100.000 pregleda na tim objavama na LinkedIn-u.
„Ovo sada vraća Microsoft Authenticator u rang sa drugim TOTP autentifikatorima zasnovanim na telefonu. Više ne dozvoljava slučajno prepisivanje TOTP ključeva kada su prisutni određeni uslovi, uključujući ponovo korišćene adrese e-pošte, što je efektivno zaključavalo korisnike iz nepovezanih sistema uz nedovoljno upozorenja“, napisao je Rendal na LinkedIn-u. „Hvala vam, Microsoft, što ste rešili problem, mada nije moralo da prođe toliko vremena da biste priznali da on postoji.”
Tim Erlin, vođa API bezbednosti u Wallarmu, bio je jedan od mnogih korisnika koji su prošlog meseca potvrdili problem sa Microsoft Authenticator-om. „Iako se čini da to nije bilo lako rešiti, sjajno je videti da je Microsoft rešio ovaj problem svoje aplikacije Authenticator. Nema sumnje da će to sprečiti buduće glavobolje za njihove korisnike“, rekao je Erlin.
Drugi posmatrač sajber bezbednosti, Brian Levine, koji nadgleda poslovanje kompanije Ernst & Young u oblasti sajber bezbednosti, ukazao je na Microsoft zakrpu kao indikator da veliki brendovi, ponekad, ipak slušaju. Možda sporo reaguju, ali ipak ponekad izvrše promenu.
„Ovo pokazuje da programeri softvera sve više reaguju na bezbednosne brige i mogućnosti, uključujući i one za koje su krivi tehnolozi i tehnološki mediji“, rekao je Levine.
Will Townsend, glavni analitičar u Moor Insights & Strategy, rekao je da je „lično iskusio taj problem. To je, čisto i jednostavno, greška u dizajnu.“
„Pretpostavljam da je upotreba QR kodova postala popularnija u poslednjih nekoliko godina za MFA i to je konačno primoralo Microsoft da ga zakrpi pošto su oni bili jedini izuzetak“, rekao je Townsend. „Relativno nova Inicijativa za bezbednu budućnost kompanije (Secure Future Initiative), možda je bila najvažnija u ubeđivanju tima za razvoj proizvoda da se pozabavi ovim problemom.“
Priroda greške u dizajnu bila je takva da nije uticala na sve korisnike. Ne samo da je zavisilo od korisničkog imena koje bira korisnik, već je izgledalo da ulogu igra i kompanija koja se autentifikuje. Neke banke i trgovci na malo, na primer, zahtevali su različite informacije i drugačije su postupali sa njima. Zbog toga problem nije bio univerzalan – pa je samim tim teže padao onima na koje je uticao.
Problem je otežalo to što se greška retko smatrala problemom Microsoft Authenticator-a, već je IT smatrao da je problem sa autentifikacijom te kompanije. Zbog toga je izgubljeno mnogo IT sati.
„Ovu situaciju pogoršava to što kada Microsoft prepiše nalog, nije lako odrediti koji nalog se zamenjuje. Ovo može da izazove probleme autentifikacije kako sa novootvorenim nalogom tako i sa nalogom koji je zamenjen“, napisao je CSO prošlog meseca. „Štaviše, korisnici potencijalno ne mogu da shvate da je prethodno kreiran nalog uništen dok ne pokušaju ponovo da ga koriste, bilo to nedeljama ili mesecima kasnije.“
Izvor: CSO