Microsoft wil tweestapsverificatietool Authenticator verouderd in Outlook-app – Computer – Nieuws

Pushmeldingen en nummerherkenning helpen niet bij “evil proxy” aanvallen.

Er zijn gratis tools om te downloaden (zoals Modlishka, Muraena, CredSniper of Evilginx2) maar waar blijven ook PaaS-diensten (Phishing as a Service) voor zijn verschenen.

De stap van een “ouderwetse” phishing-website (de gebruikers-ID’s en wachtwoorden worden gekopieerd) naar één die tevens een OTP (SMS) of TOTP code kapt, is heel klein. En daarmee heeft de eigenaar, bijhouden, voldoende tijd om, als jou, in te loggen op de echt website nl (zonder nieuwe MFA) jouw wachtwoord en MFA-instellingen te wijzigen.

Van deze nieuwe MS-app weet ik het nog niet, maar de meeste TOTP-apps (waaronder Authy en Google Authenticator) zuigen. Op enkele uitzonderingen na: er kunnen geen back-ups worden gemaakt van de TOTP “shared secrets”, of de back-ups staan ​​met waardeloze versleuteling op een cloudserver, en/of je verdeeld met je privacy (en leidt tot extra risico’s op account -kapingen).

Ook kun je volledig criminele TOTP-apps vinden in de Google Play Store en de Apple App Store – de door jou gescande QR-codes uploaden naar servers van criminelen.

Fijn dat jouw MS-account op jouw pc wachtwoordloos is, maar als ik het goed begrijp gaat het hier om apps voor Android en iOS. En juist vervolg zouden wachtwoordsleutels effectief zijn (middels redelijke “veilige enclaves”).

Het lijkt erop dat er meer op dat Microsoft-wachtwoorden saboteert. Hier niet uitgevonden?

[Reactie gewijzigd door ErikvanStraten op 12 maart 2023 11:49]