Na een testperiode stelt Microsoft number matching verplicht in de Authenticator-app bij Microsoft-diensten. Hierbij moet de gebruiker nummers van het inlogscherm invoeren in de app en is de kans op onopzettelijk toestemming verlenen volgens het bedrijf kleiner.
Microsoft meldt op 8 mei te zijn begonnen met het uitrollen van verplichte number matching voorgebruikers van de Microsoft Authenticator-app. Microsoft testte al langer number matching en zakelijke klanten konden dit al toepassen om ‘mfa-fatigue’ te voorkomen. Het bedrijf spreekt over een gefaseerde uitrol en zegt niet wanneer alle klanten de number matching-verplichting moeten krijgen.
Number matching is een functie van Authenticator om inloggen met mfa veiliger te maken. Bij het inloggen bij een Microsoft-dienst krijgt de gebruiker een getal te zien op het inlogscherm. Dat getal moet door middel van een keypad worden ingevoerd in de Authenticator-app om vervolgens toestemming te kunnen verlenen voor het inloggen.
Zonder number matching kunnen kwaadwillenden gebruikers spammen met inlogverzoeken, waarbij ze hopen dat de gebruiker uiteindelijk toestemming geeft. Dit heet ook wel mfa-fatigue. Voorheen was in sommige gevallen de notificatie bevestigen al genoeg en in andere gevallen moest uit een van drie getallen worden gekozen. Door een handmatige invoer van het getal te verplichten is de kans op misbruik kleiner en is voor misbruik in feite direct contact nodig door de aanvaller. Microsoft meldt wel dat number matching niet op Android-wearables wordt ondersteund. Het is niet duidelijk of deze ondersteuning later naar deze apparaten komt. Microsoft staakte eerder de Authenticator-ondersteuning van Apple Watch.
Bron: Tweakers.net