微软身份验证器被爆存在严重设计问题 用户扫码添加账户时数据会被覆盖

这个问题终于又被注意到了吗？

今天主要面向企业 IT 管理员的行业科技网站 CSO Online 发布报告称微软身份验证器存在严重的设计问题，当用户尝试使用扫码绑定 2FA 或 MFA 多因素验证时，可能会出现数据被覆盖的问题，即现有账户的 2FA 数据被新添加的数据覆盖导致无法登录原来的账户。

这个问题其实已经存在很多年，这是典型的设计问题但至今微软都没有彻底解决问题，尤其是随着 2FA/MFA 的流行，越来越多的企业要求员工必须绑定多因素认证，然后就出现问题的概率就更大了。

问题发生原因：

通常我们主要使用一个电子邮箱注册各种网站的账户，当扫码添加 2FA 验证账户时，微软不会校验是否存在同名账户问题，而是直接选择了覆盖。

也就是说当已经绑定 [email protected] 这个账户的 2FA 后，我们注册其他网站仍然使用该邮箱并继续扫码绑定时，新账户的 2FA 数据会替代原来同名账户的数据。

用户不会看出来有任何区别，因为本身 2FA 验证码就是 30 秒钟刷新一次的，只有在登录时多次输入验证码始终出错才意识到哪里出了问题。

这对企业 IT 管理员来说是个非常痛苦的情况，他们经常需要花时间帮助其他员工处理这个问题，但如果使用微软身份验证器绑定微软账户则不会出现同样的问题，如果使用谷歌身份验证器也不会出现类似的问题。

从微软身份验证器发布时就一直存在：

虽然已经被报道过几次但微软始终没有解决数据覆盖问题，这个问题从微软身份验证器在 2016 年发布时就存在，转眼间已经过去了八年。

如果用户必须使用微软身份验证器那也有办法进行规避，那就是输入 TOTP 绑定的验证码而不是使用扫码添加，当手动输入绑定验证码时你可以自己添加账户，此时不会出现自动覆盖问题。

不过手动输入 TOTP 绑定的验证码解决方案并不适用于企业用户，所以对企业用户来说除了更换其他身份验证器外暂时也没有太好的解决办法。