Microsoft Authenticator Chrome Extension var falsk og snød mig.

Microsoft password manager

Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.

Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.

Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.

Her blev jeg snydt!

På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.

Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.

Det gjorde jeg, men responsen efter login gjorde mig mistænksom.

Hvad skete der?

  • Den Chrome extension som ligger derinde, er IKKE fra Microsoft, selvom den udgiver sig for det.
  • Hvis man holder musen henover “Kontakt Udvikler”, kan man se, at den mail adresse er en Gmail.
Kontakt udvikler mail adressen er en Gmail.

Hvad er problemet?

Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.

Hvad var konsekvensen for mig?

  1. At jeg stoppede med at skrive omkring Microsoft Authenticator, og skrev denne artikel i stedet for.
  2. At jeg omgående udskiftede mit password på min konto
  3. At snyderen aldrig får fat i min konto, da jeg bruger 2-faktor godkendelse.

Hvad lærte jeg?

  1. Stol ikke blindt på Google Chrome udvidelser inden du installerer.
  2. Vær mistænksom når 1Password Manager pludselig ikke viser brugernavn og password, når du skal logge ind. Det gør den nemlig kun på det korrekte domain. I dette tilfælde skal det være Microsoft, som det så ikke var, -men derimod hackerens domain.
  3. Husk altid at checke hvem der står som udvikler, og klik på besøg udvikler, og kontakt udvikler, for at sikre at det virker rigtigt.

Hvad gjorde jeg udover ovenstående?

  1. Anmeldte udvidelsen som “snyd” til Google Chrome
  2. Skrev til den danske Direktør for Teknologi og Sikkerhed hos Microsoft Danmark, Ole Kjeldsen.
Læs videre

3 gode råd mod password tyveri du kan implementere nu!

Alt tyder på at hackere har samlet op mod 5.0 mill Gmail brugernavne og passwords i en fil, som nu er tilgængelig via download. Google siger at det ikke skyldes et indbrud hos dem, men at de formentlig er stjålet over lang tid fra andre web sites.

Hvorfor er det ekstra slemt når de får din email?

Fordi mange hjemmesider tilbyder at sende dit glemte password til din email adresse. Har man først adgang til denne, kan man hurtig overtage din identitet, dine konti såsom Facebook, Instagram, Twitter -ja alle steder der bruger denne metode. Som regel vil de også have ændret dit email password, og så du kan bare sidde og se til, medens de boltrer sig med din identitet.

3 gode råd til at sikre dine konti:

  • Genbrug aldrig password’s! Installer en password manager, som hjælper dig med at generere og huske engangs password pr. site, såsom LastPass1Password (sidstnævnte bruger jeg på alle enheder også iPhone & iPad)
  • Aktiver 2-faktor authentikation! Det betyder at udover password skal man også indtaste en kode, som ofte kommer som SMS på din mobil, når du logger ind. Så i dette tilfælde kræver det at angriberen både har dit password og din mobil. De fleste større web services tilbyder denne funktion, såsom Apple, Gmail, Facebook, Twitter, Dropbox, Evernote og Linkedin. Den engelsksprogede hjemmeside Lifehacker har en artikel der beskriver hvordan man aktiverer 2-faktor authentikation på websites.
  • Aktiver adgangs kode på din Smartphone! Så kan man ikke få adgang til disse data.
Læs videre