Microsoft führt 2-Faktor-Authentifizierung ein
Wer möchte, kann zukünftig den Zugang zu seinem Microsoft-Account zusätzlich absichern. Die Details sehen ziemlich ähnlich aus wie bei dem Verfahren, das Konkurrent Google vor über 2 Jahren eingeführt hat.
(Bild: Microsoft)
In den nächsten Tagen will Microsoft wie erwartet eine Erweiterung einführen, um den Zugang zum Microsoft-Konto besser zu schützen. Das in einem Blog-Beitrag als "Zwei-Schritt-Überprüfung" (two-step verification) vorgestellte Verfahren, fordert nach dem herkömmlichen Passwort einen zusätzlich Code an, den der Anwender via SMS, Mail oder von einer speziellen App erhält.
Dafür hat Microsoft die "Microsoft Authenticator App" veröffentlicht, die "standardkonforme" Einweg-Codes erzeugt, die man auch bei Google oder Dropbox einsetzen könne. Welcher Standard das ist, verrät Microsoft in der Ankündigung nicht; vermutlich handelt es sich jedoch um Time-based One-time Passwords (TOTP), deren Erzeugung die IETF in RFC 6238 spezifiziert. Wahrscheinlich kann man damit dann auch Googles Authenticator zum Erzeugen der TOTPs nutzen.
Überhaupt erinnern die Details sehr an die Zwei-Faktor-Authentifizierung, die Google bereits vor mehr als zwei Jahren eingeführt hat. Dazu gehört insbesondere, dass es die Möglichkeit geben soll, auf regelmäßig genutzten Geräten, die 2-Schritt-Überprüfung nur beim ersten Mal durchzuführen. Außerdem wird es – ebenfalls wie bei Google – applikationsspezifische Passwörter für bestimmte Programme und Dienste geben, die keine 2-Faktor-Authentifizierung unterstützen.
Hart wird es, wenn einem die Möglichkeit abhanden kommt, die erforderlichen Codes für den zweiten Schritt zu bekommen oder erstellen zu lassen – etwa weil das dazu benötigte Smartphone gestohlen wurde. Ohne den zweiten Code muss man laut Microsoft 30 Tage warten, bevor der Zugriff auf das Konto freigeschaltet werden kann. Bei Google kann man sich für solche Fälle spezielle Backup-Codes erzeugen und sicher verwahren (was man auch unbedingt tun sollte). Es ist anzunehmen, dass Microsoft einen ähnlichen Fallback einführen wird. Kann man gar keinen der beiden Codes beibringen, könne man gar nicht mehr auf das Microsoft-Konto zugreifen, heißt es lapidar im Blog.
Laut der Ankündigung soll die neue Option in den nächsten Tagen unter "Security info" in den Einstellungen des Microsoft Accounts auftauchen. Ob dies auch für Microsoft-Kunden in Deutschland gilt ist derzeit nicht klar. (ju)
