這個問題終于又被注意到了嗎？

今天主要面向企業 IT 管理員的行業科技網站 CSO Online 發布報告稱微軟身份驗證器存在嚴重的設計問題，當用戶嘗試使用掃碼綁定 2FA 或 MFA 多因素驗證時，可能會出現數據被覆蓋的問題，即現有賬戶的 2FA 數據被新添加的數據覆蓋導致無法登錄原來的賬戶。

這個問題其實已經存在很多年，這是典型的設計問題但至今微軟都沒有徹底解決問題，尤其是隨著 2FA/MFA 的流行，越來越多的企業要求員工必須綁定多因素認證，然后就出現問題的概率就更大了。

問題發生原因：

通常我們主要使用一個電子郵箱注冊各種網站的賬戶，當掃碼添加 2FA 驗證賬戶時，微軟不會校驗是否存在同名賬戶問題，而是直接選擇了覆蓋。

也就是說當已經綁定 [email protected] 這個賬戶的 2FA 后，我們注冊其他網站仍然使用該郵箱并繼續掃碼綁定時，新賬戶的 2FA 數據會替代原來同名賬戶的數據。

用戶不會看出來有任何區別，因為本身 2FA 驗證碼就是 30 秒鐘刷新一次的，只有在登錄時多次輸入驗證碼始終出錯才意識到哪里出了問題。

這對企業 IT 管理員來說是個非常痛苦的情況，他們經常需要花時間幫助其他員工處理這個問題，但如果使用微軟身份驗證器綁定微軟賬戶則不會出現同樣的問題，如果使用谷歌身份驗證器也不會出現類似的問題。

從微軟身份驗證器發布時就一直存在：

雖然已經被報道過幾次但微軟始終沒有解決數據覆蓋問題，這個問題從微軟身份驗證器在 2016 年發布時就存在，轉眼間已經過去了八年。

如果用戶必須使用微軟身份驗證器那也有辦法進行規避，那就是輸入 TOTP 綁定的驗證碼而不是使用掃碼添加，當手動輸入綁定驗證碼時你可以自己添加賬戶，此時不會出現自動覆蓋問題。

不過手動輸入 TOTP 綁定的驗證碼解決方案并不適用于企業用戶，所以對企業用戶來說除了更換其他身份驗證器外暫時也沒有太好的解決辦法。