微軟 Authenticator 應用被曝設計缺陷，賬號被覆蓋、鎖定

IT之家 8 月 7 日消息，消息源 CSO News 於 8 月 5 日報道，微軟旗下的 Microsoft Authenticator 身份驗證應用存在設計缺陷，會覆蓋多重身份驗證（MFA）導致其被鎖定。

IT之家援引消息稱，Microsoft Authenticator 存在字段使用問題，用戶掃描 QR 二維碼添加新賬號之後，經常會覆蓋此前賬號並導致賬號被鎖定。

通常情況下，用戶不太可能聯繫到 Authenticator 應用，而是會歸咎當前使用 Authenticator 認證的頁面或者服務上。

這個問題的核心在於，Microsoft Authenticator 會用相同的用戶名覆蓋賬戶。

由於用戶名普遍使用電子郵件地址，大多數用戶的應用程序都使用相同的用戶名。Google Authenticator 等其它身份認證應用會添加銀行、汽車公司等信息來避免這個問題，而 Microsoft Authenticator 只使用用戶名字段。

而且更爲糟糕的是，在覆蓋賬號之後，系統很難確定哪個賬戶被覆蓋，這可能會導致新創建的賬戶和被覆蓋的賬戶均出現身份驗證問題。

而用戶可能會在幾周，甚至幾個月之後才嘗試使用此前創建的賬號，而此時該賬號已經被註銷。