Una falla en Microsoft Authenticator sobrescribe cuentas MFA y deja a los usuarios bloqueados

 (csoonline.com)
2 puntos por GN⁺ 2024-08-18 | 1 comentarios | Compartir por WhatsApp

Problemas de Microsoft Authenticator

  • Microsoft Authenticator tiene un problema por el cual sobrescribe una cuenta existente al agregar una cuenta nueva mediante un código QR
  • Como resultado, los usuarios pueden perder acceso a sus cuentas, lo que provoca grandes inconvenientes
  • La causa del problema es que Microsoft Authenticator identifica las cuentas usando solo el nombre de usuario
  • Otras apps como Google Authenticator evitan este problema al agregar también el nombre del emisor

Gravedad del problema

  • Microsoft Authenticator sobrescribe cuentas que tienen el mismo nombre de usuario, algo frecuente cuando se usa una dirección de correo electrónico como nombre de usuario
  • Cuando ocurre la sobrescritura, es difícil saber qué cuenta fue reemplazada
  • Los usuarios suelen darse cuenta del problema más tarde, cuando intentan usar la cuenta

Cómo resolverlo

  • La solución más sencilla es usar otra app de autenticación
  • También se puede ingresar el código manualmente en lugar de escanear el código QR
  • Este problema existe desde el lanzamiento de Microsoft Authenticator en 2016

Quejas de los usuarios

  • Desde 2020 se han presentado quejas sobre este problema, pero Microsoft no lo ha corregido
  • El método de ingresar la información manualmente es ineficiente en entornos empresariales

El caso de Brett Randall

  • El consultor de TI australiano Brett Randall publicó recientemente este problema en LinkedIn
  • Explicó que, al escanear un código QR, Microsoft Authenticator sobrescribe claves TOTP de otras aplicaciones
  • Otras apps de autenticación crean un ID único combinando el emisor y la etiqueta, pero Microsoft usa solo la etiqueta

Opinión de expertos

  • Varios expertos en seguridad y TI pudieron reproducir este problema
  • Tim Erlin, vicepresidente de producto en Wallarm, señaló que este problema deja a los usuarios bloqueados y que se trata de una falla de diseño
  • David Meltzer, director de producto de Netography, dijo haber experimentado personalmente este problema y lo considera un bug

Postura de Microsoft

  • Microsoft considera este problema una función y responsabiliza al usuario o al emisor
  • Microsoft afirma que muestra un mensaje al usuario para confirmar si desea sobrescribir la configuración de la cuenta
  • Sin embargo, ese mensaje induce al usuario a continuar con la sobrescritura

Propuesta de solución

  • Brett Randall sugirió auditar los otpauth de todas las aplicaciones o que Microsoft corrija el problema
  • Tras probar 14 apps de autenticación distintas, solo Microsoft Authenticator presentó este problema

Resumen de GN⁺

  • Microsoft Authenticator tiene un problema que sobrescribe cuentas existentes al agregar cuentas nuevas
  • Este problema causa grandes inconvenientes tanto a usuarios como a empresas, mientras que otras apps de autenticación pueden evitarlo
  • Microsoft no corrige el problema y culpa al usuario o al emisor
  • Para evitar este problema, se recomienda usar otra app de autenticación

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-08-18
Opiniones en Hacker News

  • La razón para elegir Microsoft Authenticator es que Microsoft te obliga a usarlo

    • No permite usar otras apps OTP y no ofrece a los administradores una herramienta para desactivar eso
    • El código QR no es un TOTP estándar, así que otros clientes lo rechazan
    • Solo se puede obtener el código QR TOTP real mediante el enlace "usar otra app"

  • Los problemas de seguridad y usabilidad son un gran problema

    • Hay muchas molestias para el usuario, como la caducidad de contraseñas, reglas de contraseñas complejas y requisitos de contraseña no documentados
    • Debido a vulnerabilidades en los propios sistemas de seguridad, las filtraciones de datos ocurren con frecuencia

  • El correo que llegó de Microsoft parecía phishing

    • Recibí un correo para activar MFA, pero en realidad no administro ninguna organización relacionada con Microsoft
    • El correo no incluía nombre ni nombre de la organización, solo un UUID

  • Dudas sobre que Microsoft Authenticator guarde los elementos basándose en la etiqueta

    • No genera una clave interna, y si el sitio web no pone información en el campo de emisor, surgen problemas
    • Queda la duda de si dentro de Microsoft realmente usan Authenticator

  • Experiencia de haber perdido acceso a una cuenta de GitHub por un bug de Safari

    • Safari tenía un bug que sobrescribía contraseñas sin advertencia
    • Ya fue corregido, pero todavía existe un bug por el que no puede distinguir subdominios

  • Problema de acceso a una cuenta de Google

    • Después de cambiar de país y de computadora, ya no pude acceder a la cuenta de Google
    • Ni siquiera usando la dirección de correo de recuperación pude resolver el problema
    • Es incómodo tener que recordar la dirección de correo de recuperación como si fuera una contraseña

  • Críticas a la elección de servicios de Microsoft

    • Microsoft les pasa la responsabilidad a los usuarios y a los clientes
    • El ecosistema de Windows se ha vuelto complejo y difícil de usar
    • Se agregan nuevas funciones a MS Teams, pero no se resuelven los problemas existentes

  • Se pueden usar varias cuentas con el mismo nombre de usuario

    • Puede haber un defecto de diseño, pero se puede usar el mismo nombre de usuario en distintos sitios

  • Crear una cuenta de Hotmail no es amigable para personas con discapacidad visual

  • El problema de que Microsoft Authenticator rastree la ubicación

    • El rastreo de ubicación se percibe como un problema mayor