微软 MFA 多重考证系统曝 AuthQuake 罅隙，黑客可暴力穷举破解

IT之家 12 月 15 日音问，安全公司 Oasis 发现微软 MFA 多重考证系统中存在一项 AuthQuake 要紧罅隙。允许黑客通过穷举暴力破解考证码绕过考证经过从而拜访用户账户，安全公司称，这一罅隙要是遭黑客欺诈，可能带来普通影响。

IT之家参考申诉获悉，这一罅隙主要波及微软多重认证的账号考证器动态码系统，在普通情况下，要是用户要在 PC 网页端登录微软账号，需要通过手机上绑定了微软账号的考证器 App 生成 6 位动态考证码（OTP），在时效内输入以完成认证。要是用户持续输入极度跳动 10 次，系统将暂时不容用户登录。

可是扣问东说念主员发现，这一认证机制本色缺少对考证频率的截止，也即是黑客要是使用大型蓄意机，径直在账号系统考证手机 App 上动态考证码的这一小段期间中通过快速生成新会话（Session），在短期间内穷举尝试扫数可能的考证密码成列组合（猜测 100 万种），即可胜利暴力破解认证机制，吸收用户账号。

扣问东说念主员默示，他们已欺诈该罅隙胜利绕过 MFA 多重考证经过，整项测试过程马虎捏续一小时，同期系统也未向受害者发出任何警戒。Oasis 已于本年 6 月下旬向微软通报了这一问题。在两边互助下，微软分辩于 7 月和 10 月对罅隙进行了斥地暖热解。

扣问东说念主员提到，微软账号系统出现如斯问题的原因是该公司在设想考证手机 App 考证码时商酌到关连动态密码每 30 秒就会刷新一次，而认证系统与用户拜访期间本色存在蔓延，因此延长了考证码的有用时长，最长可达 3 分钟。这一设想给黑客提供了暴力破解契机。