Cacat Microsoft Authenticator menimpa akun MFA, membuat pengguna terkunci

 (csoonline.com)
2 poin oleh GN⁺ 2024-08-18 | 1 komentar | Bagikan ke WhatsApp

Masalah pada Microsoft Authenticator

  • Microsoft Authenticator memiliki masalah yang menimpa akun yang sudah ada saat menambahkan akun baru melalui kode QR
  • Akibatnya, pengguna tidak bisa mengakses akun mereka dan mengalami ketidaknyamanan yang besar
  • Penyebab masalah ini adalah Microsoft Authenticator mengidentifikasi akun hanya dengan menggunakan nama pengguna
  • Aplikasi lain seperti Google Authenticator menghindari masalah ini dengan menambahkan nama penerbit

Tingkat keparahan masalah

  • Microsoft Authenticator menimpa akun yang memiliki nama pengguna yang sama, dan hal ini sering terjadi karena alamat email kerap digunakan sebagai nama pengguna
  • Saat penimpaan terjadi, sulit mengetahui akun mana yang telah tertimpa
  • Pengguna biasanya baru menyadari masalah ini ketika mencoba menggunakan akun tersebut di kemudian hari

Cara mengatasinya

  • Solusi termudah adalah menggunakan aplikasi autentikator lain
  • Ada juga cara memasukkan kode secara manual alih-alih memindai kode QR
  • Masalah ini sudah ada sejak Microsoft Authenticator dirilis pada 2016

Keluhan pengguna

  • Keluhan tentang masalah ini telah muncul sejak 2020, tetapi Microsoft belum memperbaikinya
  • Cara memasukkan informasi secara manual tidak efisien dalam lingkungan perusahaan

Kasus Brett Randall

  • Konsultan TI Australia Brett Randall baru-baru ini memposting masalah ini di LinkedIn
  • Ia menjelaskan bahwa saat memindai kode QR, Microsoft Authenticator menimpa kunci TOTP dari aplikasi lain
  • Aplikasi autentikator lain membuat ID unik dengan menggabungkan penerbit dan label, tetapi Microsoft hanya menggunakan label

Pendapat para ahli

  • Sejumlah pakar keamanan dan TI dapat mereproduksi masalah ini
  • Tim Erlin, wakil presiden produk di Wallarm, menyebut masalah ini dapat membuat pengguna terkunci dan merupakan cacat desain
  • David Meltzer, chief product officer Netography, pernah mengalami masalah ini secara langsung dan menganggapnya sebagai bug

Sikap Microsoft

  • Microsoft menganggap masalah ini sebagai fitur dan menyalahkan pengguna atau penerbit
  • Microsoft menyatakan telah memberikan pesan konfirmasi kepada pengguna untuk menanyakan apakah pengaturan akun akan ditimpa
  • Namun, pesan tersebut justru mendorong pengguna untuk melanjutkan penimpaan

Usulan solusi

  • Brett Randall menyarankan agar otpauth semua aplikasi diaudit, atau Microsoft harus memperbaiki masalah ini
  • Hasil pengujian terhadap 14 aplikasi autentikator berbeda menunjukkan hanya Microsoft Authenticator yang mengalami masalah ini

Ringkasan GN⁺

  • Microsoft Authenticator memiliki masalah yang menimpa akun yang sudah ada saat menambahkan akun baru
  • Masalah ini menimbulkan ketidaknyamanan besar bagi pengguna dan perusahaan, sementara aplikasi autentikator lain dapat menghindarinya
  • Microsoft tidak memperbaiki masalah ini dan justru menyalahkan pengguna atau penerbit
  • Untuk menghindari masalah ini, disarankan menggunakan aplikasi autentikator lain

Bacaan terkait

1 komentar

 
GN⁺ 2024-08-18
Komentar Hacker News

  • Alasan memilih Microsoft Authenticator adalah karena Microsoft memaksakan penggunaannya

    • Tidak mengizinkan penggunaan aplikasi OTP lain, dan tidak menyediakan alat bagi admin untuk menonaktifkannya
    • Kode QR-nya bukan TOTP standar sehingga klien lain menolaknya
    • Kode QR TOTP yang sebenarnya hanya bisa didapat melalui tautan "gunakan aplikasi lain"

  • Masalah keamanan dan kegunaan merupakan persoalan besar

    • Banyak ketidaknyamanan yang dialami pengguna, seperti periode pergantian kata sandi, aturan kata sandi yang rumit, dan persyaratan kata sandi yang tidak terdokumentasi
    • Kebocoran data sering terjadi akibat kerentanan pada sistem keamanan itu sendiri

  • Email yang diterima dari Microsoft terlihat seperti phishing

    • Menerima email untuk mengaktifkan MFA, tetapi sebenarnya tidak mengelola organisasi yang terkait dengan Microsoft
    • Email tersebut tidak mencantumkan nama atau nama organisasi, hanya berisi UUID

  • Keraguan tentang Microsoft Authenticator yang menyimpan entri berdasarkan label

    • Tidak membuat kunci internal, dan jika situs web tidak memasukkan informasi pada kolom issuer, masalah akan muncul
    • Muncul pertanyaan apakah Microsoft benar-benar menggunakan Authenticator secara internal

  • Pengalaman kehilangan akses ke akun GitHub karena bug di Safari

    • Safari pernah memiliki bug yang menimpa kata sandi tanpa peringatan
    • Sekarang sudah diperbaiki, tetapi masih ada bug yang tidak bisa membedakan subdomain

  • Masalah akses akun Google

    • Tidak bisa mengakses akun Google setelah mengganti negara dan komputer
    • Masalah tidak dapat diselesaikan meskipun menggunakan alamat email pemulihan
    • Situasi harus mengingat alamat email pemulihan seperti kata sandi terasa merepotkan

  • Kritik terhadap pilihan layanan Microsoft

    • Microsoft melemparkan tanggung jawab kepada pengguna dan klien
    • Ekosistem Windows menjadi kompleks dan sulit digunakan
    • Fitur baru MS Teams terus ditambahkan, tetapi masalah lama tidak diselesaikan

  • Bisa menggunakan beberapa akun dengan nama pengguna yang sama

    • Mungkin ada cacat desain, tetapi nama pengguna yang sama bisa digunakan di situs lain

  • Proses pembuatan akun Hotmail tidak ramah bagi penyandang tunanetra

  • Masalah Microsoft Authenticator yang melacak lokasi

    • Pelacakan lokasi dianggap sebagai masalah yang lebih besar