Почему Microsoft Authenticator отказался от множественного выбора входа в систему

В следующее использование Microsoft Authenticator для входа в устройство пользователи могут обнаружить новый интерфейс. Microsoft внедряет изменение, которое требует ручного ввода числа вместо выбора одного из трёх предложенных вариантов.

Данное обновление первоначально появилось для корпоративных и образовательных пользователей, но теперь оно распространяется и на личные учётные записи Microsoft. Отображение нового запроса на личном устройстве свидетельствует о процессе его внедрения.

На первый взгляд, может показаться, что это изменение повышает безопасность Microsoft Authenticator в 33 раза. Это было бы верно, если бы злоумышленники взламывали учётные записи, угадывая отображаемое число.

До изменения было доступно всего три варианта, что давало гипотетическому слепому взломщику примерно 33-процентный шанс на угадывание. Требование ручного ввода двузначного числа снижает вероятность угадывания до 1 процента.

Однако атаки, сосредоточенные на многофакторной аутентификации, обычно не являются играми на угадывание. Злоумышленники часто засыпают пользователей множеством запросов на аутентификацию в надежде, что пользователь одобрит запрос или угадает правильное число.

Случайные одобрения также являются проблемой. При отображении всего трёх чисел на экране можно случайно нажать правильное число при открытии приложения или перемещении телефона в кармане.

Требование ручного ввода числа значительно снижает эти риски.

Microsoft внесла несколько изменений в своё приложение-аутентификатор для повышения безопасности. SMS-коды постепенно отказываются как опция для личных учётных записей Microsoft из-за их небезопасности. Аутентификация на основе SMS является основным источником мошенничества.

Изменение в сторону требования ручного ввода числа является более точечным, чем отказ от аутентификации на основе SMS, но оно добавляет ещё один уровень безопасности.

Обновление внедряется постепенно, поэтому пользователи могут видеть его не сразу.

Евгений (MSReview): Требование ручного ввода чисел в Microsoft Authenticator — это обдуманный шаг, направленный на повышение безопасности учетных записей пользователей и противодействие распространенным методам мошенничества, таким как спуфинг и случайное подтверждение.