• Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
  • Karriere
  • Newsletter
  • Kontakt
Net at Work
  • Microsoft 365
    • Workshops
    • Microsoft Teams
    • Telefonie
      • Microsoft Teams Telefonie
      • Contact Center
      • Managed SBC
    • Microsoft Exchange
    • Microsoft SharePoint
    • M365 Migration
    • Security
      • Microsoft 365 Security
      • E-Mail Security
    • Informationsmanagement
  • Business Apps
    • Microsoft Development
    • Microsoft Power Platform
    • Digitale Prozesse
  • Intranet
  • Managed Services
  • Change Management
  • Unternehmen
    • Kontakt
    • Über uns
    • Referenzen
    • Karriere
      • Fach- und Führungskräfte
      • Junge Talente
  • Blog
  • Online-Events
  • Suche
  • Menü Menü
  • Microsoft Authenticator bald noch sicherer – globale Einstellungen ab Februar

Microsoft Authenticator bald noch sicherer – globale Einstellungen ab Februar

Jonathan Brockhausen
Autor: Jonathan BrockhausenJunior Consultant Microsoft Securityhttps://www.linkedin.com/in/jbrockhausen/–Auf LinkedIn vernetzen

Die Verwendung von Multi-Faktor-Authentifizierung (MFA) ist in der Microsoft 365 Welt unerlässlich. Die Basics zum Thema finden Sie hier. Im folgenden Blogartikel liefern wir Hintergründe zu einer konkreten Anmeldemethode – dem Microsoft Authenticator. Beschäftigen Sie sich am besten schon jetzt damit, denn spätestens bis Ende Februar führt Microsoft einige Einstellungen global für alle Tenants ein.

Warum überhaupt Microsoft Authenticator nutzen?

  • Sicherheit im Verhältnis zu Bequemlichkeit

    Sicherheit im Verhältnis zu Bequemlichkeit

Quelle: Microsoft

Eine Anmeldung allein mit Passwort kann heutzutage nicht mehr als sicher angesehen werden – zu hoch sind die Risiken durch Phishing, Bruteforce und Leaked Credentials. Seit Jahren zerbrechen sich Unternehmen den Kopf, wie Passwörter mithilfe von Passwortrichtlinien und Passwortsafes sicher gestaltet werden können. Doch die perfekte Lösung gibt es hier schlichtweg nicht. Eine sichere Umgebung erreichen Sie erst in Kombination mit einem weiteren Faktor.

Bei der herkömmlichen Multi-Faktor-Authentifizierung müssen User neben dem Wissen des Kennworts auch das Haben eines Geräts (Smartphone, Token o. Ä.) oder das Sein (biometrische Faktoren) nachweisen. Wenn zwei von drei dieser Faktoren kombiniert werden, kann eine reguläre Anmeldung deutlich sicherer gestaltet werden.

Doch auch diese Methode kann anfällig gegenüber Angriffen sein. So können Angreifende durch das Vortäuschen einer echten Login-Seite auch One-Time-Passwords (OTP-Tokens) aus Apps abgreifen und somit einen Session-Cookie erstellen.

Ein anderer Angriffsvektor besteht im kontinuierlichen Anfordern von Anmeldebestätigungen. Hierbei fordern Angreifende, die bereits Zugriff auf das Passwort eines Opfers erlangt haben, so lange die Freigabe der Anmeldung in der Authenticator App an, bis dieses entnervt akzeptiert. Das wirkt auf den ersten Blick vielleicht absurd, hat aber in der Praxis bei Uber zu einem größeren Security-Vorfall geführt.

Zum Glück können Sie sich mit der richtigen Konfiguration für den Microsoft Authenticator vor diesen Angriffen schützen. Microsoft wird zudem einige Einstellungen am 27. Februar global in allen Tenants aktivieren. Daher bietet es sich an, sich bereits jetzt damit auseinanderzusetzen und Ihre User rechtzeitig über die bevorstehenden Änderungen zu informieren.

Number Matching und Co. – diese Konfiguration im Azure AD schützt vor MFA Fatigue Angriffen

Im Azure AD können Sie das Verhalten und die Zuweisung der Microsoft Authenticator App konfigurieren. Grundsätzlich ist Ihren Usern das Hinzufügen des Microsoft Authenticators auch ohne eine Konfiguration durch einen Admin möglich, da Sie als Unternehmen davon profitieren, wenn User den Authenticator bereits selbstständig einrichten.

Sie können entweder für alle User oder für bestimmte Nutzende und Gruppen den Authentifizierungsmodus bestimmen und dabei zwischen Push oder Passwordless auswählen.

  • Eine Push-Nachricht für eine anstehende Anmeldebestätigung

    Eine Push-Nachricht für eine anstehende Anmeldebestätigung
  • Push ermöglicht das Senden einer Pushnachricht auf das Handy, die Nutzende als zweiten Faktor bei der Anmeldung bestätigen müssen
  • Passwordless hingegen funktioniert ohne Passwort, sodass User nach Eingabe des UPNs (=User Principal Name, Benutzername) direkt eine Benachrichtigung bekommen und durch einen Fingerabdruck oder Face ID die Kombination der Sicherheitsfaktoren Haben (Besitz des registrierten Handys) und Sein (biometrischer Faktor) nachweisen. Somit können sie ihre Identität bestätigen, ohne dass ein Passwort erforderlich ist.

Weiterhin empfehlen wir Ihnen, festzulegen, ob Sie die Nutzung von Microsoft Authenticator OTP erlauben möchten (was aufgrund der oben beschriebenen Angriffsvektoren nicht die höchste Sicherheit bietet) und das Verhalten der Push-Nachricht zu konfigurieren.

  • Number Matching

    Beim Number Matching wird Usern bei der Anmeldung an einer Ressource eine Zahl angezeigt, die bei der Bestätigung der Push-Nachricht eingegeben werden muss. Damit können MFA Fatigue Angriffe wie bei Uber verhindert werden.

  • Anwendungsnamen anzeigen

    Hier wird die Auswahl der Dateitypen nicht automatisch aktualisiert. Nachdem die neuen Dateitypen angezeigt werden, sollte geprüft werden, inwieweit Ihre bisherige Richtlinie an den Microsoft Best Practice angepasst werden kann.

  • Geografischen Standort anzeigen

    Die meisten ernsthaften Angriffe kommen aus Drittstaaten oder von Angreifenden, die eine VPN zur Verschleierung verwenden. Beide Fälle werden durch das Anzeigen des geografischen Standorts aufgedeckt und können ebenfalls dazu beitragen, Angreifenden einen Strich durch die Rechnung machen.

  • Number Matching: Links die Zahl, die im Authenticator zur Bestätigung eingegeben werden muss, rechts die Authenticator-Aufforderung mit Anwendungsname und geografischem Standort

    Number Matching: Links die Zahl, die im Authenticator zur Bestätigung eingegeben werden muss, rechts die Authenticator-Aufforderung mit Anwendungsname und geografischem Standort

Microsoft Authenticator Änderungen im Februar

Spätestens ab dem 27. Februar wird das Number Matching für Ihre Tenants aktiviert – wir empfehlen, diese Einstellung bereits jetzt, zumindest für einzelne User in Ihrer Organisation, zu testen.
Wir unterstützen Sie gerne mit praxiserprobten Tipps zur richtigen Microsoft Authenticator Konfiguration. Bei der Erstellung Ihrer internen Schulungsmaterialien wenden Sie sich außerdem gerne an unser Change Management.

Microsoft Security Workshop

Wie Sie darüber hinaus Ihre Azure AD Umgebung ganzheitlich absichern können, erfahren Sie in unserem Security-Workshop.

Jetzt informieren!

Weitere News zu diesem Thema

Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust

Checkliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust

Alle News, News IT-Betrieb, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-03-15
Endpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler Daten

Endpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler Daten

Alle News, News IT-Betrieb, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-03-02
Microsoft Authenticator bald noch sicherer – globale Einstellungen ab Februar

Microsoft Authenticator bald noch sicherer – globale Einstellungen ab Februar

Alle News, News IT-Betrieb, News Microsoft Office 365, News Security, Unsere Top-News
Weiterlesen
2023-01-31
Seite 1 von 12123›»

Pressekontakt

Aysel Nixdorf, Marketing Managerin bei Net at Work.
Gerne stehe ich Ihnen bei Fragen zu Net at Work und unserem Angebot jederzeit zur Verfügung. Sprechen Sie mich an.

Aysel Nixdorf
Marketing & PR
Telefon +49 5251 304627

Unsere Themen
Kompetenzen
Unternehmen
Termine
NoSpamProxy
Alle News

Net at Work-Newsletter

Jetzt abonnieren

Jetzt Beitrag teilen!

  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

Unternehmen

  • Profil
  • Kontakt
  • Karriere
  • Impressum
  • Datenschutzerklärung
  • Allgemeine Geschäftsbedingungen (AGB)
  • Datenschutzinformation für Geschäftspartner und Bewerber

Kompetenzen

  • Microsoft 365
  • Change Management
  • Managed Services Provider
  • Microsoft Teams
  • Microsoft Teams Telefonie
  • Microsoft Teams Contact Center
  • Microsoft 365 Security
  • Microsoft SharePoint
  • Microsoft Exchange
  • Microsoft Power Platform
  • Informationsmanagement
  • Intranet
  • E-Mail-Sicherheit

News

  • Newsletter abonnieren
  • Kompetenzen
  • Unternehmen
  • Termine
  • Alle News

Letzte News

  • Checkliste: Microsoft 365 Offboarding-Prozess ohne DatenverlustCheckliste: Microsoft 365 Offboarding-Prozess ohne Datenverlust2023-03-15 - 11:00
  • Endpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler DatenEndpoint DLP & Defender for Cloud Apps – Schutz vor dem Upload sensibler Daten2023-03-02 - 12:30
  • Microsoft Teams Premium – diese Features werden ab März lizenzpflichtigMicrosoft Teams Premium – diese Features werden ab März lizenzpflichtig2023-02-09 - 11:00
IMPRESSUM  •  © 2023 Net at Work GmbH
  • Twitter
  • Xing
  • LinkedIn
  • Instagram
  • Youtube
  • Datenschutzerklärung
  • Kontakt
Nach oben scrollen