ปัญหาของ Microsoft Authenticator
- Microsoft Authenticator มีปัญหาเขียนทับบัญชีเดิมเมื่อเพิ่มบัญชีใหม่ด้วย QR code
- ส่งผลให้ผู้ใช้ไม่สามารถเข้าถึงบัญชีได้และเกิดความไม่สะดวกอย่างมาก
- สาเหตุของปัญหาคือ Microsoft Authenticator ใช้เพียงชื่อผู้ใช้ในการระบุบัญชี
- แอปอื่นอย่าง Google Authenticator หลีกเลี่ยงปัญหานี้ด้วยการเพิ่มชื่อผู้ออกให้กับบัญชี
ความร้ายแรงของปัญหา
- Microsoft Authenticator จะเขียนทับบัญชีที่มีชื่อผู้ใช้เดียวกัน ซึ่งมักเกิดขึ้นเมื่อใช้อีเมลเป็นชื่อผู้ใช้
- เมื่อเกิดการเขียนทับ ก็ยากที่จะรู้ว่าบัญชีใดถูกเขียนทับไป
- ผู้ใช้มักจะเพิ่งรู้ตัวเมื่อพยายามใช้งานบัญชีนั้นในภายหลัง
วิธีแก้ไข
- วิธีที่ง่ายที่สุดคือใช้งานแอปยืนยันตัวตนอื่น
- อีกทางหนึ่งคือป้อนโค้ดด้วยตนเองแทนการสแกน QR code
- ปัญหานี้มีมาตั้งแต่ Microsoft Authenticator เปิดตัวในปี 2016
เสียงร้องเรียนจากผู้ใช้
- มีการร้องเรียนเกี่ยวกับปัญหานี้มาตั้งแต่ปี 2020 แต่ Microsoft ยังไม่ได้แก้ไข
- วิธีป้อนข้อมูลด้วยตนเองไม่มีประสิทธิภาพในสภาพแวดล้อมองค์กร
กรณีของ Brett Randall
- Brett Randall ที่ปรึกษาไอทีชาวออสเตรเลีย ได้โพสต์ถึงปัญหานี้บน LinkedIn เมื่อไม่นานมานี้
- เขาอธิบายว่าเมื่อสแกน QR code นั้น Microsoft Authenticator จะเขียนทับคีย์ TOTP ของแอปพลิเคชันอื่น
- แอปยืนยันตัวตนอื่นจะรวมชื่อผู้ออกและป้ายกำกับเพื่อสร้าง ID ที่ไม่ซ้ำกัน แต่ Microsoft ใช้เพียงป้ายกำกับเท่านั้น
ความเห็นจากผู้เชี่ยวชาญ
- ผู้เชี่ยวชาญด้านความปลอดภัยและไอทีหลายคนสามารถทำให้ปัญหานี้เกิดซ้ำได้
- Tim Erlin รองประธานฝ่ายผลิตภัณฑ์ของ Wallarm ระบุว่าปัญหานี้ทำให้ผู้ใช้ถูกล็อกเอาต์ และถือเป็นข้อบกพร่องด้านการออกแบบ
- David Meltzer ประธานเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ของ Netography เคยประสบปัญหานี้ด้วยตนเองและมองว่าเป็นบั๊ก
ท่าทีของ Microsoft
- Microsoft มองว่าปัญหานี้เป็นฟีเจอร์ และโยนความผิดไปที่ผู้ใช้หรือผู้ออก
- Microsoft อ้างว่ามีข้อความถามยืนยันผู้ใช้ว่าจะเขียนทับการตั้งค่าบัญชีหรือไม่
- อย่างไรก็ตาม ข้อความดังกล่าวมีลักษณะชวนให้ผู้ใช้ดำเนินการเขียนทับต่อ
ข้อเสนอแนะแนวทางแก้
- Brett Randall เสนอว่าควรตรวจสอบ
otpauth ของทุกแอปพลิเคชัน หรือไม่ก็ Microsoft ต้องแก้ปัญหานี้
- จากการทดสอบแอปยืนยันตัวตน 14 ตัว พบว่ามีเพียง Microsoft Authenticator ที่ประสบปัญหานี้
สรุปโดย GN⁺
- Microsoft Authenticator มีปัญหาเขียนทับบัญชีเดิมเมื่อเพิ่มบัญชีใหม่
- ปัญหานี้สร้างความไม่สะดวกอย่างมากทั้งต่อผู้ใช้และองค์กร ขณะที่แอปยืนยันตัวตนอื่นสามารถหลีกเลี่ยงได้
- Microsoft ไม่ได้แก้ปัญหานี้ และกลับโยนความผิดไปที่ผู้ใช้หรือผู้ออก
- แนะนำให้ใช้แอปยืนยันตัวตนอื่นเพื่อหลีกเลี่ยงปัญหานี้
1 ความคิดเห็น
ความเห็นจาก Hacker News
เหตุผลที่เลือกใช้ Microsoft Authenticator คือ Microsoft บังคับให้ต้องใช้
ปัญหาด้านความปลอดภัยและการใช้งานเป็นปัญหาใหญ่
อีเมลที่ได้รับจาก Microsoft ดูเหมือนฟิชชิง
มีข้อสงสัยเกี่ยวกับการที่ Microsoft Authenticator จัดเก็บรายการโดยอิงตามเลเบล
เคยมีประสบการณ์สูญเสียการเข้าถึงบัญชี GitHub เพราะบั๊กของ Safari
ปัญหาการเข้าถึงบัญชี Google
คำวิจารณ์ต่อการเลือกบริการของ Microsoft
สามารถใช้หลายบัญชีที่มีชื่อผู้ใช้เดียวกันได้
การสร้างบัญชี Hotmail ไม่เป็นมิตรกับผู้พิการทางสายตา
ปัญหาที่ Microsoft Authenticator ติดตามตำแหน่ง