Microsoft Authenticator kini meminta pengguna mengetik angka secara manual saat melakukan login, menggantikan pilihan dari tiga opsi yang sebelumnya cukup ditekan. Perubahan ini membuat proses persetujuan menjadi lebih ketat dan menutup celah kesalahan sentuh yang selama ini masih mungkin terjadi.
Dengan mekanisme baru itu, risiko persetujuan yang tidak disengaja ikut ditekan. Saat antarmuka lama hanya menampilkan tiga pilihan, pengguna bisa saja salah menekan saat membuka aplikasi atau ketika ponsel bergerak di dalam saku.
Perlindungan yang lebih rapat untuk login
Pembaruan ini juga mengurangi peluang penyerang yang mencoba menebak angka secara membabi buta. Secara teoritis, sistem lama memberi peluang sekitar 33 persen jika hanya ada tiga opsi yang bisa dipilih, sedangkan input manual dengan nomor dua digit menurunkannya menjadi sekitar 1 persen.
Meski begitu, serangan terhadap autentikasi multifaktor jarang sesederhana menebak angka yang tampil di layar. Pelaku biasanya membanjiri pengguna dengan banyak permintaan autentikasi agar korban menyetujui prompt atau tanpa sengaja memilih angka yang benar.
Mulai digulirkan bertahap ke lebih banyak akun
Perubahan ini pertama kali terlihat pada akun enterprise dan pendidikan, lalu mulai digulirkan ke akun Microsoft personal. Pada perangkat personal, prompt baru itu sudah muncul, menandakan distribusinya memang sedang berjalan.
Artinya, tidak semua pengguna akan langsung melihat tampilan baru tersebut. Microsoft menggulirkannya secara bertahap, sehingga sebagian akun masih harus menunggu sebelum antarmuka baru muncul di aplikasi mereka.
Langkah ini sejalan dengan perubahan lain yang sudah lebih dulu diterapkan Microsoft pada aplikasi autentikatornya. Kode SMS perlahan dihapus sebagai opsi untuk akun Microsoft personal karena dianggap tidak aman.
Microsoft menyebut autentikasi berbasis SMS sebagai sumber penipuan utama. Karena itu, perpindahan dari SMS dan penambahan input manual di Authenticator saling melengkapi sebagai lapisan perlindungan tambahan bagi pengguna.