Active Directory: Microsofts Mehrfaktor-Login ist sicher hinter der Paywall

Schon im Februar hat Microsoft auf der RSA-Sicherheitskonferenz 2020 angemerkt, dass Mehrfaktorauthentifizierung (MFA) eine wichtige Sicherheitsmaßnahme für Unternehmen ist. "Etwa ein halbes Prozent der Enterprise-Accounts in unserem System werden jeden Monat kompromittiert, was eine wirklich hohe Zahl ist", sagt Alex Weinert, Chef von Sicherheitslösungen bei Microsoft. Er gibt an, dass dies global etwa 1,2 Millionen Konten betrifft. Bei einem Unternehmen mit 10.000 Microsoft-Accounts seien also im Mittel 50 davon ein Sicherheitsrisiko.

Mehr als 99,9 Prozent dieser Accounts hätten wahrscheinlich keine Multifaktor-Authentifizierung aktiviert, behauptet Weinert weiter. Dies sei eine sehr gute Methode, um das eigene Unternehmen vor Sicherheitslücken in der eigenen Infrastruktur zu schützen. Trotz dieser Risiken haben allerdings wohl nur 11 Prozent aller Unternehmenskunden MFA überhaupt in Nutzung.

Der zweite Faktor kostet extra

Das Unternehmen verschweigt allerdings, dass die eigenen beworbenen MFA-Methoden in vielen Fällen hinter einer Bezahlhürde stehen. Das konnte Golem.de bei den eigenen Office-365-Produkten ausprobieren. Dabei teilt sich die Mehrfaktorauthentifizierung bei Microsoft-Diensten zumindest in der Redaktion in zwei Teile auf: Zum einen können Office-365-Programme mit einem zweiten Faktor gesichert werden. Dazu zählen Applikationen wie Outlook, Word, Excel und Teams. Zum anderen können mehrere Faktoren in der Admin-Konsole von Azure Active Directory eingestellt werden.

Die Anmeldung in Office 365 gestaltet sich noch relativ simpel und ist etwa mit einem Smartphone als zweitem Faktor möglich. Bei der Einrichtung generiert Microsoft dazu einen Barcode, den wir mit einem Authenticator scannen. Bei unseren Versuchen hat dies nur mit dem Microsoft Authenticator funktioniert. Weder AndOTP noch der Google Authenticator haben den Code erkannt. Es gibt allerdings einen Trick, der einem Golem.de-Leser aufgefallen ist: Mit dem kaum sichtbaren Punkt "App ohne Benachrichtigungen" zeigt die Software einen kompatiblen Barcode an, der auch mit Googles Authenticator und AndOTP funktioniert.

Sowohl Googles als auch Microsofts App haben ein Sicherheitsproblem: Von ihnen können Screenshots erstellt werden. Zudem können wir damit nur Office 365 absichern, für den zusätzlichen Schutz im Web oder bei Legacy-Anwendungen ist beispielsweise Active Directory erforderlich.

Das Problem: Nur zahlende Kunden dürfen etwa Fido-Sticks von Drittherstellern als zweiten Faktor für Authentifizierungen verwenden. Diese Funktion ist nämlich nur ab Active Directory Premium P1 enthalten, das 5,06 Euro pro Nutzer und Monat zusätzlich kostet. Dazu kommen in einigen Fällen die Kosten für Office 365 und andere Cloud-Anwendungen. Zumindest in Windows 10 ist die MFA-Authentifizierung per USB-Fido-Stick möglich.

Microsoft sollte zudem noch etwas an der Admin-Oberfläche für die Sicherheitseinstellungen arbeiten. Diese sind inkonsistent, recht verschachtelt und ähneln sich auch optisch teilweise nicht. Die Entwickler sollten also MFA für alle Kunden freischalten und das Einstellungsmenü weniger spröde gestalten. Dann werden vielleicht auch mehr als 11 Prozent der Kunden darauf zurückgreifen.

Nachtrag vom 9. März 2020, 16:57 Uhr

Die Zweifaktor-Authentifizierung in Office 365 funktioniert auch mit anderen Authenticator-Apps, wie ein Leser herausgefunden hat. Wir haben den Text entsprechend ergänzt.