• Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
  • Karriere
  • Newsletter
  • Kontakt
Net at Work
  • Microsoft 365
    • Workshops
    • Microsoft Teams
    • Telefonie
      • Microsoft Teams Telefonie
      • Contact Center
      • Managed SBC
    • Microsoft Exchange
    • Microsoft SharePoint
    • M365 Migration
    • Security
      • Microsoft 365 Security
      • E-Mail Security
    • Informationsmanagement
  • Business Apps
    • Microsoft Development
    • Microsoft Power Platform
  • Intranet
  • Managed Services
  • Change Management
  • Unternehmen
    • Kontakt
    • Über uns
    • Referenzen
    • Karriere
      • Fach- und Führungskräfte
      • Junge Talente
  • Blog
  • Softwareentwicklung
  • Suche
  • Menü Menü
  • Microsoft Authenticator bald noch sicherer – globale Einstellungen ab Februar

Microsoft Authenticator bald noch sicherer – globale Einstellungen ab Februar

Jonathan Brockhausen
Autor: Jonathan BrockhausenJunior Consultant Microsoft Securityhttps://www.linkedin.com/in/jbrockhausen/–Auf LinkedIn vernetzen

Die Verwendung von Multi-Faktor-Authentifizierung (MFA) ist in der Microsoft 365 Welt unerlässlich. Die Basics zum Thema finden Sie hier. Im folgenden Blogartikel liefern wir Hintergründe zu einer konkreten Anmeldemethode – dem Microsoft Authenticator. Beschäftigen Sie sich am besten schon jetzt damit, denn spätestens bis Ende Februar führt Microsoft einige Einstellungen global für alle Tenants ein.

Warum überhaupt Microsoft Authenticator nutzen?

  • Sicherheit im Verhältnis zu Bequemlichkeit

    Sicherheit im Verhältnis zu Bequemlichkeit

Quelle: Microsoft

Eine Anmeldung allein mit Passwort kann heutzutage nicht mehr als sicher angesehen werden – zu hoch sind die Risiken durch Phishing, Bruteforce und Leaked Credentials. Seit Jahren zerbrechen sich Unternehmen den Kopf, wie Passwörter mithilfe von Passwortrichtlinien und Passwortsafes sicher gestaltet werden können. Doch die perfekte Lösung gibt es hier schlichtweg nicht. Eine sichere Umgebung erreichen Sie erst in Kombination mit einem weiteren Faktor.

Bei der herkömmlichen Multi-Faktor-Authentifizierung müssen User neben dem Wissen des Kennworts auch das Haben eines Geräts (Smartphone, Token o. Ä.) oder das Sein (biometrische Faktoren) nachweisen. Wenn zwei von drei dieser Faktoren kombiniert werden, kann eine reguläre Anmeldung deutlich sicherer gestaltet werden.

Doch auch diese Methode kann anfällig gegenüber Angriffen sein. So können Angreifende durch das Vortäuschen einer echten Login-Seite auch One-Time-Passwords (OTP-Tokens) aus Apps abgreifen und somit einen Session-Cookie erstellen.

Ein anderer Angriffsvektor besteht im kontinuierlichen Anfordern von Anmeldebestätigungen. Hierbei fordern Angreifende, die bereits Zugriff auf das Passwort eines Opfers erlangt haben, so lange die Freigabe der Anmeldung in der Authenticator App an, bis dieses entnervt akzeptiert. Das wirkt auf den ersten Blick vielleicht absurd, hat aber in der Praxis bei Uber zu einem größeren Security-Vorfall geführt.

Zum Glück können Sie sich mit der richtigen Konfiguration für den Microsoft Authenticator vor diesen Angriffen schützen. Microsoft wird zudem einige Einstellungen am 27. Februar global in allen Tenants aktivieren. Daher bietet es sich an, sich bereits jetzt damit auseinanderzusetzen und Ihre User rechtzeitig über die bevorstehenden Änderungen zu informieren.

Number Matching und Co. – diese Konfiguration im Azure AD schützt vor MFA Fatigue Angriffen

Im Azure AD können Sie das Verhalten und die Zuweisung der Microsoft Authenticator App konfigurieren. Grundsätzlich ist Ihren Usern das Hinzufügen des Microsoft Authenticators auch ohne eine Konfiguration durch einen Admin möglich, da Sie als Unternehmen davon profitieren, wenn User den Authenticator bereits selbstständig einrichten.

Sie können entweder für alle User oder für bestimmte Nutzende und Gruppen den Authentifizierungsmodus bestimmen und dabei zwischen Push oder Passwordless auswählen.

  • Eine Push-Nachricht für eine anstehende Anmeldebestätigung

    Eine Push-Nachricht für eine anstehende Anmeldebestätigung
  • Push ermöglicht das Senden einer Pushnachricht auf das Handy, die Nutzende als zweiten Faktor bei der Anmeldung bestätigen müssen
  • Passwordless hingegen funktioniert ohne Passwort, sodass User nach Eingabe des UPNs (=User Principal Name, Benutzername) direkt eine Benachrichtigung bekommen und durch einen Fingerabdruck oder Face ID die Kombination der Sicherheitsfaktoren Haben (Besitz des registrierten Handys) und Sein (biometrischer Faktor) nachweisen. Somit können sie ihre Identität bestätigen, ohne dass ein Passwort erforderlich ist.

Weiterhin empfehlen wir Ihnen, festzulegen, ob Sie die Nutzung von Microsoft Authenticator OTP erlauben möchten (was aufgrund der oben beschriebenen Angriffsvektoren nicht die höchste Sicherheit bietet) und das Verhalten der Push-Nachricht zu konfigurieren.

  • Number Matching

    Beim Number Matching wird Usern bei der Anmeldung an einer Ressource eine Zahl angezeigt, die bei der Bestätigung der Push-Nachricht eingegeben werden muss. Damit können MFA Fatigue Angriffe wie bei Uber verhindert werden.

  • Anwendungsnamen anzeigen

    Hier wird die Auswahl der Dateitypen nicht automatisch aktualisiert. Nachdem die neuen Dateitypen angezeigt werden, sollte geprüft werden, inwieweit Ihre bisherige Richtlinie an den Microsoft Best Practice angepasst werden kann.

  • Geografischen Standort anzeigen

    Die meisten ernsthaften Angriffe kommen aus Drittstaaten oder von Angreifenden, die eine VPN zur Verschleierung verwenden. Beide Fälle werden durch das Anzeigen des geografischen Standorts aufgedeckt und können ebenfalls dazu beitragen, Angreifenden einen Strich durch die Rechnung machen.

  • Number Matching: Links die Zahl, die im Authenticator zur Bestätigung eingegeben werden muss, rechts die Authenticator-Aufforderung mit Anwendungsname und geografischem Standort

    Number Matching: Links die Zahl, die im Authenticator zur Bestätigung eingegeben werden muss, rechts die Authenticator-Aufforderung mit Anwendungsname und geografischem Standort

Microsoft Authenticator Änderungen im Februar

Spätestens ab dem 27. Februar wird das Number Matching für Ihre Tenants aktiviert – wir empfehlen, diese Einstellung bereits jetzt, zumindest für einzelne User in Ihrer Organisation, zu testen.
Wir unterstützen Sie gerne mit praxiserprobten Tipps zur richtigen Microsoft Authenticator Konfiguration. Bei der Erstellung Ihrer internen Schulungsmaterialien wenden Sie sich außerdem gerne an unser Change Management.

Microsoft Security Workshop

Wie Sie darüber hinaus Ihre Azure AD Umgebung ganzheitlich absichern können, erfahren Sie in unserem Security-Workshop.

Jetzt informieren!

Weitere News zu diesem Thema

Besuchen Sie uns auf der it-sa Expo&Congress 2023 in Nürnberg.

Alle News, News Kompetenzen, News NoSpamProxy, News Security, News Unternehmen, Unsere Top-News
Weiterlesen
2023-09-26
ADG konsolidiert gewachsene IT-Landschaft mit Net at Work und startet von einer sicheren und soliden Basis in eine Cloud-First-Zukunft Preview

ADG konsolidiert gewachsene IT-Landschaft mit Net at Work und startet von einer sicheren und soliden Basis in eine Cloud-First-Zukunft

Alle News, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-09-18

Security Assessment

Alle News, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-09-05
Seite 1 von 15123›»

Pressekontakt

Aysel Nixdorf, Marketing Managerin bei Net at Work.
Gerne stehe ich Ihnen bei Fragen zu Net at Work und unserem Angebot jederzeit zur Verfügung. Sprechen Sie mich an.

Aysel Nixdorf
Marketing & PR
Telefon +49 5251 304627

Unsere Themen
Kompetenzen
Unternehmen
Termine
NoSpamProxy
Alle News

Net at Work-Newsletter

Jetzt abonnieren

Jetzt Beitrag teilen!

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

Unternehmen

  • Profil
  • Kontakt
  • Karriere
  • Impressum
  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen (AGB)
  • Datenschutzinformation für Geschäftspartner und Bewerber

Kompetenzen

  • Microsoft 365
  • Microsoft 365 Change Management
  • Managed Services Provider
  • Microsoft Teams
  • Microsoft Teams Telefonie
  • Microsoft Teams Contact Center
  • Microsoft 365 Security
  • Microsoft SharePoint
  • Microsoft Exchange
  • Microsoft Power Platform
  • Informationsmanagement
  • Intranet
  • E-Mail-Sicherheit

Microsoft Solutions Partner Modern Work

Microsoft Solutions Partner Security

News

  • Newsletter abonnieren
  • Kompetenzen
  • Unternehmen
  • Termine
  • Alle News

Letzte News

  • Besuchen Sie uns auf der it-sa Expo&Congress 2023 in Nürnberg.2023-09-26 - 12:14
  • Phoenix Contact Case Study
    Phoenix Contact modernisiert sein Salesnet und schafft damit eine umfassende Lösung für die vertriebliche Kommunikation2023-09-21 - 10:44
  • ADG konsolidiert gewachsene IT-Landschaft mit Net at Work und startet von einer sicheren und soliden Basis in eine Cloud-First-Zukunft Preview
    ADG konsolidiert gewachsene IT-Landschaft mit Net at Work und startet von einer sicheren und soliden Basis in eine Cloud-First-Zukunft2023-09-18 - 14:32
IMPRESSUM • Datenschutzerklärung • Cookie Einstellungen ändern • © 2023 Net at Work GmbH
  • Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
Nach oben scrollen