Microsoft ha cambiado la forma en que funciona su aplicación de autenticación, en un esfuerzo por hacerla más segura al evitar los ataques de fatiga de autenticación multifactor (MFA).
Al recibir una notificación automática de Microsoft Authenticator en su dispositivo secundario, como un teléfono inteligente, para verificar un intento de inicio de sesión, los usuarios ahora deberán ingresar un código de dos dígitos que se muestra en el dispositivo principal. Esto significa que no pueden aceptar un intento de inicio de sesión a menos que puedan ver la pantalla de inicio de sesión.
En los ataques MFA, la esperanza es que los usuarios verifiquen ciegamente los intentos de inicio de sesión después de ser bombardeados con ellos, solo para detenerlos o por error después de que se agoten. Este método ha tenido bastante éxito para penetrar en grandes corporaciones, incluida la propia Microsoft, una vez que los piratas informáticos han robado las credenciales de inicio de sesión iniciales de un trabajador.
Desplegando ahora
En el aprendizaje de la empresa (se abre en una pestaña nueva) Microsoft explicó que «la coincidencia de números es una actualización de seguridad clave para las notificaciones tradicionales de segundo factor en Microsoft Authenticator. Eliminaremos los controles de administración y aplicaremos la experiencia de coincidencia de números en todo el inquilino para todos los usuarios de notificaciones push de Microsoft Authenticator a partir del 8 de mayo de 2023».
También dijo que varios servicios emplearán este nuevo cambio, y que algunos servicios pueden ver coincidencias de números y otros no. Pero antes de que Microsoft elimine los controles de administración, los usuarios pueden hacer el cambio manualmente navegando a Seguridad > Métodos de autenticación > Autenticador de Microsoft en el portal de Azure.
Luego, en Habilitar y destino, puede elegir a qué usuarios se aplicará, configurando el modo de autenticación en Cualquiera o Push. En la pestaña Configurar, verá Requerir coincidencia de números para notificaciones automáticas. Cambie el estado a Habilitar y elija a quién se aplica, luego haga clic en guardar.
Microsoft también explica cómo puede usar las API de gráficos para habilitar la nueva función de coincidencia de números para ciertos grupos.
La compañía también señaló que «si el usuario tiene un método de autenticación predeterminado diferente, no habrá ningún cambio en su inicio de sesión predeterminado».
«Si el método predeterminado es Microsoft Authenticator y el usuario se especifica en cualquiera de las siguientes políticas, comenzará a recibir la aprobación de coincidencia de números después del 8 de mayo de 2023».
Se pueden tomar medidas de seguridad adicionales para evitar ataques de fatiga de MFA al restringir la cantidad de solicitudes de autenticación. (se abre en una pestaña nueva)alertando a los administradores o bloqueando cuentas si se excede ese número.