微软MFA多重验证系统存AuthQuake重大漏洞，黑客或可绕过验证

IT Home在12月15日报告说，安全公司OASIS发现了的MFA多因素验证系统的主要漏洞。安全公司说，允许黑客通过蛮力绕过验证过程以破解验证代码访问用户帐户，安全公司说，如果黑客利用了这种漏洞，则可能会产生广泛的影响。

IT Home参考报告了解到，此漏洞主要涉及的多认证帐户验证程序动态代码系统。在正常情况下，如果用户想登录PC网页上的帐户，则他需要通过验证程序应用程序生成6位动态验证代码（OTP），该应用程序将帐户绑定在其移动电话上微软验证，并在时间限制中输入它以完成身份验证。如果用户连续10次输入错误，则系统将暂时禁止用户登录。

但是，研究人员发现，这种身份验证机制实际上缺乏对验证频率的限制。也就是说，如果黑客使用大型计算机，他可以在短时间内快速生成一个新的会话（），当时帐户系统被用来验证移动应用程序上的动态验证代码，并尝试在短时间内进行所有可能的验证密码安排（总计100万），并可以成功地破解Brute-Force破解身份验证机制和用户帐户。

研究人员说，他们利用脆弱性成功绕过MFA多因素验证过程，整个测试过程持续了大约一个小时，并且该系统也没有向受害者发出任何警告。 Oasis将于今年6月下旬告知。通过两党之间的合作，微软分别固定并减轻了7月和10月的漏洞。

研究人员提到，在微软的帐户系统中，此类问题的原因是，在设计移动应用程序的验证代码时，公司考虑每30秒钟相关的动态密码每30秒刷新一次，并且身份验证系统和用户访问时间实际上会延迟，因此可以延长验证代码的有效性时间，最多3分钟。这种设计为黑客提供了蛮力的机会。

广告声明：本文包含的外部重定向链接（不仅限于超链接，QR码，密码等）用于传达更多信息并节省选择时间。结果仅供参考。家中的所有文章都包括此声明。