A equipe de pesquisa do Oasis mostrou que, ao criar rapidamente novos tempos e contar códigos, os invasores podem tentar combinações em alta velocidade, eliminando rapidamente todos os 1 milhão de códigos possíveis de 6 dígitos. Durante essas tentativas de ataque, os titulares das contas não receberam avisos sobre as muitas tentativas fracassadas, tornando esta vulnerabilidade muito escorregadia e perigosa.
“A recente descoberta da vulnerabilidade do AuthQuake na autenticação multifator (MFA) da Microsoft serve como um lembrete de que a segurança não se trata apenas da implantação do MFA – ela também deve ser configurada corretamente”, disse James Scobey, diretor de segurança da informação da Keeper Security. . “Embora o MFA seja, sem dúvida, uma proteção poderosa, sua eficácia depende de configurações importantes, como limitar o nível de frustração de tentativas de força bruta e notificações do usuário para tentativas de login malsucedidas.”
O tempo prolongado adiciona uma camada de neve no topo
Os códigos do aplicativo de autenticação seguem as diretrizes de senha de uso único (TOTP), gerando um novo código a cada 30 segundos, com uma pequena extensão que permite diferenças de tempo entre usuários e verificadores.
