Microsoft Authenticator ya protege contra los ataques de fatiga MFA

Microsoft Authenticator ya protege contra los ataques de fatiga MFA

Santander, 28 de octubre (Portaltic/EP) –

La aplicación Autenticador de Microsoft seguridad mejorada de verificación multifactorial (MFA) mediante la implementación de nuevas características como ‘coincidencia de números’ y avisos de contexto adicionales diseñados para evitar ataques de phishing y aprobaciones accidentales.

Los sistemas de autenticación multifactor, si bien agregan una capa adicional de seguridad a los inicios de sesión, no están exentos de problemas, no están exentos de problemas. Y su creciente adopción es seguida por el surgimiento de los llamados ‘Ataques de fatiga MFA’.

“Estos ataques se basan en la capacidad del usuario para aprobar una simple notificación de voz, SMS o push que no requiere que el usuario tenga el contexto de la sesión que está autenticando”, dijo Alex Weinert, director de seguridad de identidad de Microsoft. en septiembrecon motivo de un informe sobre esta amenaza.

Cuando hablan de aprobaciones simples, se refieren a cuando el usuario recibe una notificación automática para hacer clic o ingresar un PIN para aprobar el inicio de sesión en lugar de escribir un código que se muestra en la pantalla.

Ataques de fatiga MFA aprovechar la falta de atención mostrada por los usuarios en aprobaciones simples. Pueden omitir la autenticación multifactor para intento de inicio de sesión repetido con las credenciales previamente sustraídas, lo que se traduce en un constante envío de solicitudes de aprobación al celular de la víctima.

Esta llegada de notificaciones puede llevar al usuario a aceptar una de ellas por error o sin pensarlo, dando así acceso a los ciberdelincuentes a su cuenta.

Para evitar estos ataques, Microsoft ha implementado la «coincidencia de números» en Microsoft Authenticator, una función que evita la aprobación accidental por parte de Microsoft. solicitar al usuario que ingrese un código de dos dígitos desde la pantalla de inicio de sesión en la aplicación, como se explica en el blog de comunidad de tecnología empresarial.

«Si el usuario no ha iniciado el inicio de sesión, no sabrá el código de dos dígitos, lo que requerirá que el malhechor comparta el código de dos dígitos en un canal separado, lo que el usuario no debe aceptar», señala la empresa de tecnología. .

Esta novedad ya está disponible para los administradores de las cuentas de una organización. También pueden acceder a otra novedad, ‘contexto adicional’que también ayuda a reducir los inicios de sesión accidentales al mostrar información sobre la aplicación a la que se accede o la ubicación del autor del inicio de sesión.

microsoft Explique que se pueden combinar en la misma notificación ‘el contexto adicional’ y ‘la coincidencia de números’.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.