Microsoft Authenticator è un’app che permette di effettuare l’autenticazione a più fattori (MFA) su varie piattaforme e servizi. L’azienda statunitense la consiglia anche come modalità di autenticazione alternativa alle password per l’account Microsoft. Tuttavia, anche quest’app può avere dei problemi, a causa di tentativi di accesso anomali. Lo scorso maggio è stata aggiunta una nuova funzionalità che richiedeva a tutti gli utenti di abbinare il numero inviato da Microsoft prima di rispondere a una nuova notifica MFA sul proprio telefono con l'app Authenticator. Adesso la società di Redmond ha deciso di aumentare la sicurezza per contrastare lo spamming di questo tipo di notifiche da parte degli hacker. Questa novità è stata annunciata da Alex Weinert, vicedirettore dell’Identity Security di Microsoft, con un post sul blog dell’azienda. Weinert ha dichiarato che adesso Microsoft rimuoverà le notifiche da Authenticator, quando le richieste arrivano da fonti sconosciute o presenta anomalie.
Microsoft Authenticator: blocco delle notifiche come misura contro lo spamming
Solitamente, quando si tenta di accedere ad un account, arriva una notifica pop-up tramite Microsoft Authenticator. Tuttavia, se questa notifica viene percepita come anomala (ad esempio come risultato di un attacco hacker), l’utente non la visualizzerà. Quest’ultimo dovrà invece aprire manualmente l’app e confermare il suo tentativo d’accesso. Infatti, a differenza della notifica pop-up, questo non viene rimosso. Microsoft ha dichiarato di aver implementato questo aggiornamento alla fine di settembre. Da allora l’azienda rivela di aver bloccato oltre 6 milioni di notifiche senza password e MFA”. Nella stragrande maggioranza si trattava di notifiche avviate dagli hacker e prive di valore per i clienti.
Come ricorda infine Weinert, l’implementazione di questa funzionalità ha prodotto un’esperienza più fluida per gli utenti, ma aumenta anche la sicurezza. In questo modo è stato ridotto drasticamente la possibilità per gli hacker di ottenere le credenziali degli utenti tramite richieste MFA di Microsoft Authenticator. L’aggiornamento è stato introdotto silenziosamente, senza che gli utenti notassero alcun cambiamento.