• IT-Karriere:
  • Services:

Active Directory: Microsofts Mehrfaktor-Login ist sicher hinter der Paywall

Fast alle kompromittierten Konten in Azure Active Directory hätten laut Microsoft durch Mehrfaktorauthentifizierung geschützt werden können. Die bietet der Hersteller zwar an, verlangt dafür aber teilweise nicht unerhebliche Geldsummen.

Artikel veröffentlicht am ,
Microsoft-Dienste kosten für mehr Sicherheit auch mehr Geld.
Microsoft-Dienste kosten für mehr Sicherheit auch mehr Geld. (Bild: Microsoft/Montage: Golem.de)

Schon im Februar hat Microsoft auf der RSA-Sicherheitskonferenz 2020 angemerkt, dass Mehrfaktorauthentifizierung (MFA) eine wichtige Sicherheitsmaßnahme für Unternehmen ist. "Etwa ein halbes Prozent der Enterprise-Accounts in unserem System werden jeden Monat kompromittiert, was eine wirklich hohe Zahl ist", sagt Alex Weinert, Chef von Sicherheitslösungen bei Microsoft. Er gibt an, dass dies global etwa 1,2 Millionen Konten betrifft. Bei einem Unternehmen mit 10.000 Microsoft-Accounts seien also im Mittel 50 davon ein Sicherheitsrisiko.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. Pfennigparade SIGMETA GmbH, München

Mehr als 99,9 Prozent dieser Accounts hätten wahrscheinlich keine Multifaktor-Authentifizierung aktiviert, behauptet Weinert weiter. Dies sei eine sehr gute Methode, um das eigene Unternehmen vor Sicherheitslücken in der eigenen Infrastruktur zu schützen. Trotz dieser Risiken haben allerdings wohl nur 11 Prozent aller Unternehmenskunden MFA überhaupt in Nutzung.

Der zweite Faktor kostet extra

Das Unternehmen verschweigt allerdings, dass die eigenen beworbenen MFA-Methoden in vielen Fällen hinter einer Bezahlhürde stehen. Das konnte Golem.de bei den eigenen Office-365-Produkten ausprobieren. Dabei teilt sich die Mehrfaktorauthentifizierung bei Microsoft-Diensten zumindest in der Redaktion in zwei Teile auf: Zum einen können Office-365-Programme mit einem zweiten Faktor gesichert werden. Dazu zählen Applikationen wie Outlook, Word, Excel und Teams. Zum anderen können mehrere Faktoren in der Admin-Konsole von Azure Active Directory eingestellt werden.

Die Anmeldung in Office 365 gestaltet sich noch relativ simpel und ist etwa mit einem Smartphone als zweitem Faktor möglich. Bei der Einrichtung generiert Microsoft dazu einen Barcode, den wir mit einem Authenticator scannen. Bei unseren Versuchen hat dies nur mit dem Microsoft Authenticator funktioniert. Weder AndOTP noch der Google Authenticator haben den Code erkannt. Es gibt allerdings einen Trick, der einem Golem.de-Leser aufgefallen ist: Mit dem kaum sichtbaren Punkt "App ohne Benachrichtigungen" zeigt die Software einen kompatiblen Barcode an, der auch mit Googles Authenticator und AndOTP funktioniert.

Sowohl Googles als auch Microsofts App haben ein Sicherheitsproblem: Von ihnen können Screenshots erstellt werden. Zudem können wir damit nur Office 365 absichern, für den zusätzlichen Schutz im Web oder bei Legacy-Anwendungen ist beispielsweise Active Directory erforderlich.

Das Problem: Nur zahlende Kunden dürfen etwa Fido-Sticks von Drittherstellern als zweiten Faktor für Authentifizierungen verwenden. Diese Funktion ist nämlich nur ab Active Directory Premium P1 enthalten, das 5,06 Euro pro Nutzer und Monat zusätzlich kostet. Dazu kommen in einigen Fällen die Kosten für Office 365 und andere Cloud-Anwendungen. Zumindest in Windows 10 ist die MFA-Authentifizierung per USB-Fido-Stick möglich.

Microsoft sollte zudem noch etwas an der Admin-Oberfläche für die Sicherheitseinstellungen arbeiten. Diese sind inkonsistent, recht verschachtelt und ähneln sich auch optisch teilweise nicht. Die Entwickler sollten also MFA für alle Kunden freischalten und das Einstellungsmenü weniger spröde gestalten. Dann werden vielleicht auch mehr als 11 Prozent der Kunden darauf zurückgreifen.

Nachtrag vom 9. März 2020, 16:57 Uhr

Die Zweifaktor-Authentifizierung in Office 365 funktioniert auch mit anderen Authenticator-Apps, wie ein Leser herausgefunden hat. Wir haben den Text entsprechend ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 8,97€
  2. (-74%) 15,99€
  3. (-63%) 14,99€
  4. (-83%) 6,99€

Allandor 09. Mär 2020 / Themenstart

Das "Sicherheitsproblem" spielt erst mal keine große Rolle. Denn hierfür muss der...

Xeo81 09. Mär 2020 / Themenstart

MFA via App ist schon mal besser als gar keine MFA. Es muss ja nicht gleich der Heilige...

Kommentieren


Folgen Sie uns
       


Looking Glass Holo-Display angesehen (CES 2020)

Der Looking Glass 8K ist ein Monitor, der mittels Lichtfeldtechnologie 3D-Inhalte als Hologramm anzeigen kann. Golem.de hat sich das Display auf der CES 2020 genauer angeschaut.

Looking Glass Holo-Display angesehen (CES 2020) Video aufrufen
Homeschooling-Report: Wie Schulen mit der Coronakrise klarkommen
Homeschooling-Report
Wie Schulen mit der Coronakrise klarkommen

Lösungen von Open Source bis kommerzielle Lernsoftware, HPI-Cloud und Lernraum setzen Schulen derzeit um, um ihre Schüler mit Aufgaben zu versorgen - und das praktisch aus dem Stand. Wie läuft's?
Ein Bericht von Stefan Krempl

  1. Kinder und Technik Elfjährige CEO will eine Milliarde Kinder das Coden lehren
  2. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  3. Mädchen und IT Fehler im System

Microsoft Teams im Alltag: Perfektes Werkzeug, um Effizienz zu vernichten
Microsoft Teams im Alltag
Perfektes Werkzeug, um Effizienz zu vernichten

Wir verwenden Microsofts Chat-Dienst Teams seit vielen Monaten in der Redaktion. Im Alltag zeigen sich so viele Probleme, dass es eigentlich eine Belohnung für alle geben müsste, die das Produkt verwenden.
Von Ingo Pakalski

  1. Adobe-Fontbibliothek Font-Sicherheitslücke in Windows ohne Fix
  2. Microsoft Trailer zeigt neues Design von Windows 10
  3. Unternehmens-Chat Microsoft verbessert Teams

Arduino: Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel
Arduino
Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

Eine Visitenkarte aus Papier ist langweilig! Der Elektroniker Patrick Schlegel hat eine Platine als Karte - mit kreativen Funktionen.
Von Moritz Tremmel

  1. Thinktiny Mini-Spielekonsole sieht aus wie winziges Thinkpad

    •  /