Das Absichern von Logins mittels Multifaktor-Authentifizierung ist ein wichtiger Schritt zur Verbessernug der Sicherheit. Ein Weg führt dabei über Bestätigungen von Anmeldungen auf dem Smartphone, das in dem Fall als zweiter Faktor dient. Doch regelmäßig nutzen Angreifer diese Art der Authentifizierung für Social-Engineering-Attacken, indem sie sich so oft an einem Konto versuchen anzumelden, bis das Opfer aufgrund der zahlreichen Login-Anfragen diese entnervt oder versehentlich bestätigt. Die User denken womöglich, dass sie selbst die Anfrageflut unbeabsichtigt ausgelöst haben oder ein Fehler im System vorliegen muss. Doch genau so gelangen die Angreifer in den Account.

Microsoft möchte damit bei der Nutzung seines Authenticators Schluss machen. Für die Multifaktor-Authentifizierung im Azure Active Directory ist nun ein zusätzlicher Zahlenabgleich nötig. Dieser konnte bislang freiwillig durch den Administrator dazugeschaltet werden, ist jetzt aber Pflicht und wird sukzessive ausgerollt. Die Nutzer müssen dann nicht nur den Login auf ihrem Mobilgerät bestätigen, sondern auch eine am Anmeldebildschirm angezeigte Zahl angeben. Dies können sie freilich nicht, wenn ein Dritter den Login ausgelöst hat. Grunsätzlich ist es aber auch ratsam, die Anzahl an maximal möglichen Logins zu beschränken und bei derartigen ungewöhnlichem Anmeldeverhalten einen Alarm auszulösen.