GN⁺: Microsoft Authenticator 결함으로 MFA 계정 덮어쓰기, 사용자 잠금 현상

 (csoonline.com)
2P by neo 1달전 | favorite | 댓글 1개

Microsoft Authenticator의 문제점

  • Microsoft Authenticator는 새로운 계정을 QR 코드로 추가할 때 기존 계정을 덮어쓰는 문제가 있음
  • 이로 인해 사용자들은 계정에 접근할 수 없게 되어 큰 불편을 겪음
  • 문제의 원인은 Microsoft Authenticator가 사용자 이름만을 사용하여 계정을 식별하기 때문임
  • Google Authenticator 등 다른 앱들은 발급자의 이름을 추가하여 이 문제를 피함

문제의 심각성

  • Microsoft Authenticator는 동일한 사용자 이름을 가진 계정을 덮어쓰며, 이는 이메일 주소를 사용자 이름으로 사용하는 경우가 많아 발생함
  • 덮어쓰기가 발생하면 어떤 계정이 덮어써졌는지 알기 어려움
  • 사용자는 나중에 계정을 사용하려 할 때 이 문제를 인지하게 됨

해결 방법

  • 다른 인증 앱을 사용하는 것이 가장 쉬운 해결책임
  • QR 코드 스캔 대신 수동으로 코드를 입력하는 방법도 있음
  • 이 문제는 Microsoft Authenticator가 출시된 2016년부터 존재해 왔음

사용자 불만

  • 2020년부터 이 문제에 대한 불만이 제기되었으나, Microsoft는 이를 해결하지 않음
  • 수동으로 정보를 입력하는 방법은 기업 환경에서는 비효율적임

Brett Randall의 사례

  • 호주 IT 컨설턴트 Brett Randall은 최근 이 문제를 LinkedIn에 게시함
  • QR 코드를 스캔할 때 Microsoft Authenticator가 다른 애플리케이션의 TOTP 키를 덮어쓰는 문제를 설명함
  • 다른 인증 앱들은 발급자와 라벨을 결합하여 고유 ID를 생성하지만, Microsoft는 라벨만 사용함

전문가 의견

  • 여러 보안 및 IT 전문가들이 이 문제를 재현할 수 있었음
  • Wallarm의 제품 부사장 Tim Erlin은 이 문제로 인해 사용자가 잠기게 되며, 이는 설계 결함이라고 언급함
  • Netography의 최고 제품 책임자 David Meltzer는 이 문제를 직접 경험하고 이를 버그로 간주함

Microsoft의 입장

  • Microsoft는 이 문제를 기능으로 간주하고 사용자나 발급자의 잘못으로 돌림
  • Microsoft는 사용자에게 계정 설정을 덮어쓸 것인지 확인하는 메시지를 제공한다고 주장함
  • 그러나 이 메시지는 사용자가 덮어쓰기를 진행하도록 유도함

해결책 제안

  • Brett Randall은 모든 애플리케이션의 otpauth를 감사하거나 Microsoft가 문제를 해결해야 한다고 제안함
  • 14개의 다른 인증 앱을 테스트한 결과, Microsoft Authenticator만 이 문제를 겪음

GN⁺의 정리

  • Microsoft Authenticator는 새로운 계정을 추가할 때 기존 계정을 덮어쓰는 문제가 있음
  • 이 문제는 사용자와 기업에 큰 불편을 초래하며, 다른 인증 앱들은 이 문제를 피할 수 있음
  • Microsoft는 이 문제를 해결하지 않고 사용자나 발급자의 잘못으로 돌림
  • 이 문제를 피하기 위해 다른 인증 앱을 사용하는 것이 권장됨
neo 1달전  [-]
Hacker News 의견

  • Microsoft Authenticator를 선택하는 이유는 Microsoft가 강제로 사용하게 만들기 때문임

    • 다른 OTP 앱을 사용하지 못하게 하고, 관리자가 이를 비활성화할 수 있는 도구를 제공하지 않음
    • QR 코드가 표준 TOTP가 아니어서 다른 클라이언트가 이를 거부함
    • "다른 앱 사용" 링크를 통해서만 실제 TOTP QR 코드를 얻을 수 있음

  • 보안과 사용성 문제는 큰 문제임

    • 비밀번호 변경 주기, 복잡한 비밀번호 규칙, 문서화되지 않은 비밀번호 요구사항 등 사용자가 겪는 불편함이 많음
    • 보안 시스템 자체의 취약성으로 인해 데이터 유출이 빈번하게 발생함

  • Microsoft에서 받은 이메일이 피싱처럼 보였음

    • MFA를 활성화하라는 이메일을 받았지만, 실제로는 Microsoft와 관련된 조직을 관리하지 않음
    • 이메일에 이름이나 조직명이 없고, UUID만 포함되어 있음

  • Microsoft Authenticator가 레이블 기반으로 항목을 저장하는 것에 대한 의문

    • 내부 키를 생성하지 않으며, 웹사이트가 발급자 필드에 정보를 넣지 않으면 문제가 발생함
    • Microsoft 내부에서 실제로 Authenticator를 사용하는지 의문임

  • Safari의 버그로 인해 GitHub 계정 접근을 잃은 경험

    • Safari가 경고 없이 암호를 덮어쓰는 버그가 있었음
    • 현재는 수정되었지만, 여전히 하위 도메인을 구분하지 못하는 버그가 있음

  • Google 계정 접근 문제

    • 국가와 컴퓨터를 변경한 후 Google 계정에 접근할 수 없었음
    • 복구 이메일 주소를 사용해도 문제를 해결할 수 없었음
    • 복구 이메일 주소를 암호처럼 기억해야 하는 상황이 불편함

  • Microsoft의 서비스 선택에 대한 비판

    • Microsoft가 사용자와 클라이언트에게 책임을 전가함
    • Windows 생태계가 복잡하고 사용하기 어려워짐
    • MS Teams의 새로운 기능이 추가되지만, 기존 문제들이 해결되지 않음

  • 동일한 사용자 이름을 가진 여러 계정을 사용할 수 있음

    • 디자인 결함이 있을 수 있지만, 동일한 사용자 이름을 다른 사이트에서 사용할 수 있음

  • Hotmail 계정 생성 시 시각 장애인에게 친화적이지 않음

  • Microsoft Authenticator가 위치를 추적하는 문제

    • 위치 추적이 더 큰 문제로 인식됨
답변달기