Door een “feature” in Microsoft Authenticator worden accounts vaak overschreven wanneer gebruikers een nieuw account toevoegen. Dit komt omdat de app alleen de gebruikersnaam gebruikt en niet de naam van de dienst. Hierdoor kunnen gebruikers hun toegang tot verschillende accounts verliezen.
Ondanks al jaren vele klachten blijft Microsoft erbij dat hun authenticator-app werkt zoals bedoeld. Wanneer gebruikers een QR-code scannen, krijgen ze een bericht dat om bevestiging vraagt voordat ze een actie uitvoeren die hun accountinstellingen kan overschrijven. Dit zorgt ervoor dat gebruikers zich volledig bewust zijn van de wijzigingen die ze maken. Het is dus een feature en geen bug aldus MS. En de schuld ligt bij de gebruiker of bedrijven die de app gebruiken voor authenticatie.
Blijft het feit dat elke andere authenticator-app de naam van de organisatie of website toe voegt- zoals een bank of een fabrikant – juist om dit probleem te voorkomen. Microsoft gebruikt alleen de gebruikersnaam.
14 andere geteste authenticator apps vertoonden niet dezelfde probleem als Microsoft Authenticator. Andere apps zoals Google Authenticator; Okta Verify; LastPass Authenticator; Salesforce Authenticator of OneAuth van Zoho hebben geen last van account overschrijvende features…..
Het is dus aan te raden om een andere authenticator-app dan die van Microsoft te gebruiken.
Lees meer hierover op https://www.csoonline.com/article/3480918/design-flaw-has-microsoft-authenticator-overwriting-mfa-accounts-locking-users-out
