Microsoft beginnt ab heute damit, MFA für den Nummernabgleich auf Authenticator zu pushen

MFA hat in der Vergangenheit gezeigt, dass es ausnutzbar ist. Im August 2022 wurden Microsoft-E-Mail-Benutzer, selbst diejenigen mit aktivierter MFA, Opfer eines neuen Phishing-Angriffs . Nur ein paar Wochen später gab es Berichte über Hacker, die MFA umgingen und Passwörter brutal erzwangen . Dann gibt es noch MFA-Müdigkeit oder MFA-Spamming oder Push-Bombing-Angriffe, bei denen der Benutzer mit MFA-Push-Benachrichtigungen bombardiert wird, in der Hoffnung, dass ein Benutzer die Anfrage akzeptiert und versehentlich einem Bedrohungsakteur Zugriff gewährt.

Um solche Angriffe zu bekämpfen, hat Microsoft im vergangenen Jahr den „Nummernabgleich“ als zusätzlichen Schritt in seiner Microsoft Authenticator-App eingeführt, um die durch Multi-Factor Authentication (MFA) bereitgestellte Sicherheit zu verbessern. Und ab heute, dem 8. Mai 2023, erzwingt der Redmond-Riese die Nummernanpassung für alle Benutzer. Daher müssen Benutzer bei der Anmeldung die angegebene Nummer in ihre Authenticator-App eingeben. Hier ist ein von Microsoft bereitgestelltes Beispielbild :

Der Support-Artikel stellt fest:

Der Nummernabgleich ist ein wichtiges Sicherheitsupgrade für herkömmliche Zweitfaktor-Benachrichtigungen in Microsoft Authenticator. Wir werden die Admin-Steuerelemente entfernen und ab dem 8. Mai 2023 für alle Benutzer von Microsoft Authenticator-Push-Benachrichtigungen mandantenweit die Nummernübereinstimmung erzwingen.

Wir empfehlen dringend, den Nummernabgleich kurzfristig zu aktivieren, um die Anmeldesicherheit zu verbessern. Relevante Dienste werden nach dem 8. Mai 2023 mit der Bereitstellung dieser Änderungen beginnen, und Benutzer werden beginnen, Nummernübereinstimmungen in Genehmigungsanfragen zu sehen. Bei der Bereitstellung von Diensten sehen einige möglicherweise eine Nummernübereinstimmung, während andere dies nicht tun. Um ein konsistentes Verhalten für alle Benutzer zu gewährleisten, empfehlen wir Ihnen dringend, die Nummernübereinstimmung für Microsoft Authenticator-Push-Benachrichtigungen im Voraus zu aktivieren.

Weitere Einzelheiten zum Zahlenabgleich finden Sie auf der offiziellen Website von Microsoft .