Nel corso delle ultime ore, Microsoft ha provveduto a far sapere che d'ora in poi gli utenti possono abilitare la funzionalità number matching nell’app Microsoft Authenticator. Si tratta di una feature che va a migliorare di gran lunga la sicurezza dell’autenticazione multi-fattore (MFA), in quanto grazie ad essa i rischi correlati agli attacchi phishing che sfruttano la tecnica nota come MFA fatigue (o MFA push spam) vengono ridotti all'osso.
Microsoft Authenticator: maggiore protezione con number matching
Andando più in dettaglio, grazie a questo nuovo livello di protezione se qualcuno tenta un accesso non autorizzato all’account, sullo schermo viene mostrato un numero di due cifre che deve essere inserito nella notifica push dell’app sullo smartphone e l'utente che non ha eseguito il login non può conoscere il numero.
Un criminale informatico, dunque, per poter riuscire nel suo intento e ottenere il codice necessario deve mettersi in contatto con l'utente preso di mira tramite altri canali. Una mossa del genere dovrebbe destare sospetti, motivo per cui la vittima può scoprire che si tratta in realtà di un accesso non autorizzato
Da tenere presente che chi lo ritiene necessario può valutare di aggiungere un'ulteriore linea di difesa contro gli attacchi MFA fatigue, andando a limitare il numero di richieste di autenticazione MFA per utente, bloccando temporaneamente gli account e avvisando il team di sicurezza o l'amministratore del dominio quando le soglie impostate dovessero essere superate.
Da notare che la feature number matching è stata testata per la prima volta a novembre 2021 e ora che è disponibile per tutti va abilitata dagli amministratori IT nella sezione del portale Azure dell'azienda.