Eine neue erweiterte Funktion namens Nummernabgleich für die Multi-Faktor-Authentifizierungs-App (MFA) ist generell in Microsoft Authenticator verfügbar und soll helfen, Angriffe auf MFA abzuwehren, die auf Push-Benachrichtigungs-Spam beruhen.
Forscher entdeckten Anfang des Jahres so genannte „MFA Fatigue Attacks“ auf Office 365-Nutzer, bei denen Angreifer wiederholt MFA-Push-Benachrichtigungen auslösen, während sie versuchen, sich mit einem bereits kompromittierten Kennwort bei einem Konto des Opfers anzumelden. Der Angreifer hofft, dass das Opfer durch die Benachrichtigungen irgendwann so erschöpft oder abgelenkt ist, dass es den Anmeldeversuch versehentlich genehmigt.
Wenn der Nummernabgleich aktiviert ist, verlangt die Authenticator-App, dass der Benutzer die auf dem Anmeldebildschirm angezeigte Nummer eintippt, wenn er eine MFA-Anfrage genehmigt, anstatt einfach auf „Genehmigen“ zu klicken. Dies ist eine praktische Funktion für Administratoren, deren Benutzer von diesem MFA-Angriff überrascht wurden.
Im Moment können Administratoren den Nummernabgleich in Authenticator aktivieren, aber Microsoft plant, dies im Februar 2023 als Standard für alle Authenticator-Benutzer einzuführen, so Alex Weinert, VP Director of Identity Security bei Microsoft. Administratoren können Authenticator auch so konfigurieren, dass Standort- und Anwendungskontext verwendet werden, um versehentliche Genehmigungen zu verhindern.
Microsoft hat eine Anleitung zur Konfiguration des Nummernabgleichs veröffentlicht, der nach Gruppen oder anderen Filtern aktiviert werden kann, und weist darauf hin, dass der Nummernabgleich bei Apple Watch-Benachrichtigungen nicht unterstützt wird. Die Steuerelemente für den Admin-Rollout werden entfernt, sobald der Nummernabgleich zum Standard für die Authenticator-App wird.
Außerdem verwendet Authenticator auf iOS jetzt App Transport Security (ATS), eine Sicherheitsfunktion, die Apple 2015 in iOS 9 eingeführt hat, um sichere Verbindungen über das Internet zu erzwingen. ATS muss jedoch von App-Entwicklern aktiviert werden. Forscher fanden 2019 heraus, dass ATS bei 67 % von 30.000 gescannten Apps vollständig deaktiviert war.
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…
