[l] Azure-MFA ist einfach umgehbar. Was man dafür tun muss? Man probiert einfach PINs durch!
Ja aber Fefe, man darf doch nur ein paar Mal falsch raten!
Daher macht man einfach ne Million Sessions parallel auf und probiert gleichzeitig. Einer wird schon durchkommen.
Das ist derselbe Grund, der auch Gegenmaßnahmen wie "wenn du ein falsches Passwort eingibst, packen wir eine Wartezeit auf die Session" aushebelt.
Ja aber Fefe, dann lassen wir nur eine Session pro Account zu! Nicht heutzutage, wo alle Leute bloß noch "eventually consistent"-Datenbanken einsetzen.
Bleibt "wir lassen nur eine Session pro IP zu", womit man vielleicht ein paar Anfänger abwehrt aber nicht das Problem löst.
There are no comments yet.