# Microsoft Authenticator 결함으로 MFA 계정 덮어쓰기, 사용자 잠금 현상

> Clean Markdown view of GeekNews topic #16359. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=16359](https://news.hada.io/topic?id=16359)
- GeekNews Markdown: [https://news.hada.io/topic/16359.md](https://news.hada.io/topic/16359.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2024-08-18T19:33:27+09:00
- Updated: 2024-08-18T19:33:27+09:00
- Original source: [csoonline.com](https://www.csoonline.com/article/3480918/design-flaw-has-microsoft-authenticator-overwriting-mfa-accounts-locking-users-out.html)
- Points: 2
- Comments: 1

## Topic Body

#### Microsoft Authenticator의 문제점

- Microsoft Authenticator는 새로운 계정을 QR 코드로 추가할 때 기존 계정을 덮어쓰는 문제가 있음
- 이로 인해 사용자들은 계정에 접근할 수 없게 되어 큰 불편을 겪음
- 문제의 원인은 Microsoft Authenticator가 사용자 이름만을 사용하여 계정을 식별하기 때문임
- Google Authenticator 등 다른 앱들은 발급자의 이름을 추가하여 이 문제를 피함

#### 문제의 심각성

- Microsoft Authenticator는 동일한 사용자 이름을 가진 계정을 덮어쓰며, 이는 이메일 주소를 사용자 이름으로 사용하는 경우가 많아 발생함
- 덮어쓰기가 발생하면 어떤 계정이 덮어써졌는지 알기 어려움
- 사용자는 나중에 계정을 사용하려 할 때 이 문제를 인지하게 됨

#### 해결 방법

- 다른 인증 앱을 사용하는 것이 가장 쉬운 해결책임
- QR 코드 스캔 대신 수동으로 코드를 입력하는 방법도 있음
- 이 문제는 Microsoft Authenticator가 출시된 2016년부터 존재해 왔음

#### 사용자 불만

- 2020년부터 이 문제에 대한 불만이 제기되었으나, Microsoft는 이를 해결하지 않음
- 수동으로 정보를 입력하는 방법은 기업 환경에서는 비효율적임

#### Brett Randall의 사례

- 호주 IT 컨설턴트 Brett Randall은 최근 이 문제를 LinkedIn에 게시함
- QR 코드를 스캔할 때 Microsoft Authenticator가 다른 애플리케이션의 TOTP 키를 덮어쓰는 문제를 설명함
- 다른 인증 앱들은 발급자와 라벨을 결합하여 고유 ID를 생성하지만, Microsoft는 라벨만 사용함

#### 전문가 의견

- 여러 보안 및 IT 전문가들이 이 문제를 재현할 수 있었음
- Wallarm의 제품 부사장 Tim Erlin은 이 문제로 인해 사용자가 잠기게 되며, 이는 설계 결함이라고 언급함
- Netography의 최고 제품 책임자 David Meltzer는 이 문제를 직접 경험하고 이를 버그로 간주함

#### Microsoft의 입장

- Microsoft는 이 문제를 기능으로 간주하고 사용자나 발급자의 잘못으로 돌림
- Microsoft는 사용자에게 계정 설정을 덮어쓸 것인지 확인하는 메시지를 제공한다고 주장함
- 그러나 이 메시지는 사용자가 덮어쓰기를 진행하도록 유도함

#### 해결책 제안

- Brett Randall은 모든 애플리케이션의 otpauth를 감사하거나 Microsoft가 문제를 해결해야 한다고 제안함
- 14개의 다른 인증 앱을 테스트한 결과, Microsoft Authenticator만 이 문제를 겪음

#### GN⁺의 정리

- Microsoft Authenticator는 새로운 계정을 추가할 때 기존 계정을 덮어쓰는 문제가 있음
- 이 문제는 사용자와 기업에 큰 불편을 초래하며, 다른 인증 앱들은 이 문제를 피할 수 있음
- Microsoft는 이 문제를 해결하지 않고 사용자나 발급자의 잘못으로 돌림
- 이 문제를 피하기 위해 다른 인증 앱을 사용하는 것이 권장됨

## Comments



### Comment 28084

- Author: neo
- Created: 2024-08-18T19:33:28+09:00
- Points: 2

###### [Hacker News 의견](https://news.ycombinator.com/item?id=41275846) 
- Microsoft Authenticator를 선택하는 이유는 Microsoft가 강제로 사용하게 만들기 때문임
  - 다른 OTP 앱을 사용하지 못하게 하고, 관리자가 이를 비활성화할 수 있는 도구를 제공하지 않음
  - QR 코드가 표준 TOTP가 아니어서 다른 클라이언트가 이를 거부함
  - "다른 앱 사용" 링크를 통해서만 실제 TOTP QR 코드를 얻을 수 있음

- 보안과 사용성 문제는 큰 문제임
  - 비밀번호 변경 주기, 복잡한 비밀번호 규칙, 문서화되지 않은 비밀번호 요구사항 등 사용자가 겪는 불편함이 많음
  - 보안 시스템 자체의 취약성으로 인해 데이터 유출이 빈번하게 발생함

- Microsoft에서 받은 이메일이 피싱처럼 보였음
  - MFA를 활성화하라는 이메일을 받았지만, 실제로는 Microsoft와 관련된 조직을 관리하지 않음
  - 이메일에 이름이나 조직명이 없고, UUID만 포함되어 있음

- Microsoft Authenticator가 레이블 기반으로 항목을 저장하는 것에 대한 의문
  - 내부 키를 생성하지 않으며, 웹사이트가 발급자 필드에 정보를 넣지 않으면 문제가 발생함
  - Microsoft 내부에서 실제로 Authenticator를 사용하는지 의문임

- Safari의 버그로 인해 GitHub 계정 접근을 잃은 경험
  - Safari가 경고 없이 암호를 덮어쓰는 버그가 있었음
  - 현재는 수정되었지만, 여전히 하위 도메인을 구분하지 못하는 버그가 있음

- Google 계정 접근 문제
  - 국가와 컴퓨터를 변경한 후 Google 계정에 접근할 수 없었음
  - 복구 이메일 주소를 사용해도 문제를 해결할 수 없었음
  - 복구 이메일 주소를 암호처럼 기억해야 하는 상황이 불편함

- Microsoft의 서비스 선택에 대한 비판
  - Microsoft가 사용자와 클라이언트에게 책임을 전가함
  - Windows 생태계가 복잡하고 사용하기 어려워짐
  - MS Teams의 새로운 기능이 추가되지만, 기존 문제들이 해결되지 않음

- 동일한 사용자 이름을 가진 여러 계정을 사용할 수 있음
  - 디자인 결함이 있을 수 있지만, 동일한 사용자 이름을 다른 사이트에서 사용할 수 있음

- Hotmail 계정 생성 시 시각 장애인에게 친화적이지 않음

- Microsoft Authenticator가 위치를 추적하는 문제
  - 위치 추적이 더 큰 문제로 인식됨