• IT-Karriere:
  • Services:

Active Directory: Microsofts Mehrfaktor-Login ist sicher hinter der Paywall

Fast alle kompromittierten Konten in Azure Active Directory hätten laut Microsoft durch Mehrfaktorauthentifizierung geschützt werden können. Die bietet der Hersteller zwar an, verlangt dafür aber teilweise nicht unerhebliche Geldsummen.

Artikel veröffentlicht am ,
Microsoft-Dienste kosten für mehr Sicherheit auch mehr Geld.
Microsoft-Dienste kosten für mehr Sicherheit auch mehr Geld. (Bild: Microsoft/Montage: Golem.de)

Schon im Februar hat Microsoft auf der RSA-Sicherheitskonferenz 2020 angemerkt, dass Mehrfaktorauthentifizierung (MFA) eine wichtige Sicherheitsmaßnahme für Unternehmen ist. "Etwa ein halbes Prozent der Enterprise-Accounts in unserem System werden jeden Monat kompromittiert, was eine wirklich hohe Zahl ist", sagt Alex Weinert, Chef von Sicherheitslösungen bei Microsoft. Er gibt an, dass dies global etwa 1,2 Millionen Konten betrifft. Bei einem Unternehmen mit 10.000 Microsoft-Accounts seien also im Mittel 50 davon ein Sicherheitsrisiko.

Stellenmarkt
  1. Berliner Stadtreinigungsbetriebe (BSR), Berlin
  2. Vorwerk Services GmbH, Wuppertal

Mehr als 99,9 Prozent dieser Accounts hätten wahrscheinlich keine Multifaktor-Authentifizierung aktiviert, behauptet Weinert weiter. Dies sei eine sehr gute Methode, um das eigene Unternehmen vor Sicherheitslücken in der eigenen Infrastruktur zu schützen. Trotz dieser Risiken haben allerdings wohl nur 11 Prozent aller Unternehmenskunden MFA überhaupt in Nutzung.

Der zweite Faktor kostet extra

Das Unternehmen verschweigt allerdings, dass die eigenen beworbenen MFA-Methoden in vielen Fällen hinter einer Bezahlhürde stehen. Das konnte Golem.de bei den eigenen Office-365-Produkten ausprobieren. Dabei teilt sich die Mehrfaktorauthentifizierung bei Microsoft-Diensten zumindest in der Redaktion in zwei Teile auf: Zum einen können Office-365-Programme mit einem zweiten Faktor gesichert werden. Dazu zählen Applikationen wie Outlook, Word, Excel und Teams. Zum anderen können mehrere Faktoren in der Admin-Konsole von Azure Active Directory eingestellt werden.

Die Anmeldung in Office 365 gestaltet sich noch relativ simpel und ist etwa mit einem Smartphone als zweitem Faktor möglich. Bei der Einrichtung generiert Microsoft dazu einen Barcode, den wir mit einem Authenticator scannen. Bei unseren Versuchen hat dies nur mit dem Microsoft Authenticator funktioniert. Weder AndOTP noch der Google Authenticator haben den Code erkannt. Es gibt allerdings einen Trick, der einem Golem.de-Leser aufgefallen ist: Mit dem kaum sichtbaren Punkt "App ohne Benachrichtigungen" zeigt die Software einen kompatiblen Barcode an, der auch mit Googles Authenticator und AndOTP funktioniert.

Sowohl Googles als auch Microsofts App haben ein Sicherheitsproblem: Von ihnen können Screenshots erstellt werden. Zudem können wir damit nur Office 365 absichern, für den zusätzlichen Schutz im Web oder bei Legacy-Anwendungen ist beispielsweise Active Directory erforderlich.

Das Problem: Nur zahlende Kunden dürfen etwa Fido-Sticks von Drittherstellern als zweiten Faktor für Authentifizierungen verwenden. Diese Funktion ist nämlich nur ab Active Directory Premium P1 enthalten, das 5,06 Euro pro Nutzer und Monat zusätzlich kostet. Dazu kommen in einigen Fällen die Kosten für Office 365 und andere Cloud-Anwendungen. Zumindest in Windows 10 ist die MFA-Authentifizierung per USB-Fido-Stick möglich.

Microsoft sollte zudem noch etwas an der Admin-Oberfläche für die Sicherheitseinstellungen arbeiten. Diese sind inkonsistent, recht verschachtelt und ähneln sich auch optisch teilweise nicht. Die Entwickler sollten also MFA für alle Kunden freischalten und das Einstellungsmenü weniger spröde gestalten. Dann werden vielleicht auch mehr als 11 Prozent der Kunden darauf zurückgreifen.

Nachtrag vom 9. März 2020, 16:57 Uhr

Die Zweifaktor-Authentifizierung in Office 365 funktioniert auch mit anderen Authenticator-Apps, wie ein Leser herausgefunden hat. Wir haben den Text entsprechend ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 789€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  2. 369,99€ (Bestpreis!)
  3. 634,90€ (Bestpreis!)
  4. 224,71€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)

Allandor 09. Mär 2020

Das "Sicherheitsproblem" spielt erst mal keine große Rolle. Denn hierfür muss der...

Xeo81 09. Mär 2020

MFA via App ist schon mal besser als gar keine MFA. Es muss ja nicht gleich der Heilige...


Folgen Sie uns
       


Differential Privacy: Es bleibt undurchsichtig
Differential Privacy
Es bleibt undurchsichtig

Mit Differential Privacy soll die Privatsphäre von Menschen geschützt werden, obwohl jede Menge persönlicher Daten verarbeitet werden. Häufig sagen Unternehmen aber nicht, wie genau sie das machen.
Von Anna Biselli

  1. Strafverfolgung Google rückt IP-Adressen von Suchanfragen heraus
  2. Datenschutz Millionenbußgeld gegen H&M wegen Ausspähung in Callcenter
  3. Personenkennziffer Bundestagsgutachten zweifelt an Verfassungsmäßigkeit

Tutorial: Was ein On Screen Display alles kann
Tutorial
Was ein On Screen Display alles kann

Werkzeugkasten Viele PC-Spieler schwören auf ein OSD. Denn damit lassen sich Limits erkennen, die Bildqualität verbessern und Ruckler verringern.
Von Marc Sauter


    Watch SE im Test: Apples gelungene Smartwatch-Alternative
    Watch SE im Test
    Apples gelungene Smartwatch-Alternative

    Mit der Watch SE bietet Apple erstmals parallel zum Topmodell eine zweite, günstigere Smartwatch an. Die Watch SE eignet sich unter anderem für Nutzer, die auf die Blutsauerstoffmessung verzichten können.
    Ein Test von Tobias Költzsch

    1. Series 6 im Test Die Apple Watch zwischen Sport, Schlaf und Sättigung
    2. Apple empfiehlt Neuinstallation Probleme mit WatchOS 7 und Apple Watch lösbar
    3. Smartwatch Apple Watch 3 hat Probleme mit Watch OS 7

      •  /