近期，安全領(lǐng)域的知名公司Oasis揭露了微軟MFA多重驗證系統(tǒng)中存在一個名為AuthQuake的重大安全漏洞。該漏洞使得黑客有機(jī)會通過暴力破解的方式，繞過正常的驗證流程，進(jìn)而獲取用戶的賬戶控制權(quán)。據(jù)Oasis稱，這一發(fā)現(xiàn)若被惡意勢力利用，可能引發(fā)廣泛的安全危機(jī)。

具體而言，該漏洞涉及微軟賬號的多重認(rèn)證機(jī)制，尤其是賬號驗證器動態(tài)碼系統(tǒng)。通常，當(dāng)用戶嘗試在PC網(wǎng)頁端登錄微軟賬號時，需通過手機(jī)上的微軟賬號驗證器App生成一個6位數(shù)的動態(tài)驗證碼（OTP）。用戶必須在驗證碼的有效期內(nèi)輸入，才能完成登錄認(rèn)證。若用戶連續(xù)多次輸入錯誤驗證碼，系統(tǒng)會暫時鎖定賬戶，以防止?jié)撛诘膼阂鈬L試。然而，在連續(xù)錯誤達(dá)到10次后，系統(tǒng)的鎖定機(jī)制本應(yīng)啟動，卻并未能有效阻止一種特定的攻擊方式。

Oasis的研究人員發(fā)現(xiàn)，微軟的驗證機(jī)制在驗證頻率上存在缺陷。黑客若利用高性能計算機(jī)，可以在極短的時間內(nèi)快速生成大量新的會話（Session），并嘗試所有可能的6位數(shù)驗證碼組合（總計100萬種）。通過這種暴力破解的方法，黑客可以在驗證碼失效前成功繞過驗證機(jī)制，進(jìn)而控制用戶的賬戶。值得注意的是，整個攻擊過程可以在大約一小時內(nèi)完成，而且系統(tǒng)并不會向受害者發(fā)出任何警告或通知。

Oasis在發(fā)現(xiàn)這一漏洞后，迅速與微軟進(jìn)行了溝通。今年6月下旬，Oasis向微軟通報了漏洞詳情。在雙方的緊密合作下，微軟于7月和10月分別對該漏洞進(jìn)行了修復(fù)和緩解措施，以確保用戶賬戶的安全。

此次事件再次提醒了網(wǎng)絡(luò)安全的重要性，以及企業(yè)和用戶需要時刻保持警惕，及時應(yīng)對可能出現(xiàn)的安全威脅。Oasis的及時發(fā)現(xiàn)和微軟的迅速響應(yīng)，共同避免了這一漏洞可能帶來的更大損失。然而，對于廣大用戶而言，增強(qiáng)賬戶安全意識，使用復(fù)雜且不易被猜測的驗證碼，仍然是保護(hù)個人信息安全的重要措施。