微軟MFA現AuthQuake漏洞，黑客一小時可暴力破解多重驗證

近期，安全領域的知名公司Oasis揭露了微軟MFA多重驗證系統中存在一個名為AuthQuake的重大安全漏洞。該漏洞使得黑客有機會通過暴力破解的方式，繞過正常的驗證流程，進而獲取用戶的賬戶控制權。據Oasis稱，這一發現若被惡意勢力利用，可能引發廣泛的安全危機。

具體而言，該漏洞涉及微軟賬號的多重認證機制，尤其是賬號驗證器動態碼系統。通常，當用戶嘗試在PC網頁端登錄微軟賬號時，需通過手機上的微軟賬號驗證器App生成一個6位數的動態驗證碼（OTP）。用戶必須在驗證碼的有效期內輸入，才能完成登錄認證。若用戶連續多次輸入錯誤驗證碼，系統會暫時鎖定賬戶，以防止潛在的惡意嘗試。然而，在連續錯誤達到10次后，系統的鎖定機制本應啟動，卻并未能有效阻止一種特定的攻擊方式。

Oasis的研究人員發現，微軟的驗證機制在驗證頻率上存在缺陷。黑客若利用高性能計算機，可以在極短的時間內快速生成大量新的會話（Session），并嘗試所有可能的6位數驗證碼組合（總計100萬種）。通過這種暴力破解的方法，黑客可以在驗證碼失效前成功繞過驗證機制，進而控制用戶的賬戶。值得注意的是，整個攻擊過程可以在大約一小時內完成，而且系統并不會向受害者發出任何警告或通知。

Oasis在發現這一漏洞后，迅速與微軟進行了溝通。今年6月下旬，Oasis向微軟通報了漏洞詳情。在雙方的緊密合作下，微軟于7月和10月分別對該漏洞進行了修復和緩解措施，以確保用戶賬戶的安全。

此次事件再次提醒了網絡安全的重要性，以及企業和用戶需要時刻保持警惕，及時應對可能出現的安全威脅。Oasis的及時發現和微軟的迅速響應，共同避免了這一漏洞可能帶來的更大損失。然而，對于廣大用戶而言，增強賬戶安全意識，使用復雜且不易被猜測的驗證碼，仍然是保護個人信息安全的重要措施。