Was sicher ist, bestimmt Microsoft: Keine Wahl bei der Anmeldung mehr
Die SMS bleibt ein beliebter zweiter Faktor bei der Anmeldung – obwohl sie unsicher ist. Microsoft hat die Lösung: die Nutzer einfach zur Besserung zwingen.
(Bild: iX)
Mehr Sicherheit durch Zwang: Microsoft schaltet die sogenannte System-bevorzugte Multi-Faktor-Authentifizierung scharf. Hierbei wählt das Backend für Dienste wie Microsoft 365 oder Azure die beste Anmeldemethode samt zweitem Faktor aus, statt diese Wahl den Endanwendern zu überlassen. Allerdings ist das Security-Feature zum Start nicht standardmäßig aktiviert – ist es erwünscht, müssen Administratoren es zuvor über das Azure Portal oder die GraphAPI an die Nutzer verteilen.
SMS kein guter zweiter Faktor
Aber ist eine Multi-Faktor-Authentisierung (MFA) nicht grundlegend sicher? Microsoft verneint das, denn Anwender würden meist eine bequeme Methode dem sichereren Weg vorziehen. So würden Nutzer zum Beispiel häufig eine SMS aufs Handy bevorzugen, obwohl eine Zugangs-App wie der Microsoft Authenticator besser sei. SMS und Sprachnachrichten seien für Angreifer leicht abzufangen und aufgrund der fehlenden Verschlüsselung auszulesen. Und auch die Anfälligkeit gegenüber Social-Engineering-Versuchen sei deutlich höher, weil der menschliche Support den zweiten Faktor schnell auch an Hacker verschicken könne. Schließlich sei auch die Infrastruktur der Netzbetreiber zu unzuverlässig für echte Sicherheit.
Kennen Sie schon den kostenlosen iX-Newsletter? Jetzt anmelden und monatlich zum Erscheinungsdatum nichts verpassen: heise.de/s/NY1E In der nächsten Ausgabe geht's ums Titelthema der Juni-iX: Sicherheitsmythen in der IT.
Aktiviert der Administrator also die MFA-Wahl durch das System selbst, konfrontiert letzteres den Nutzer immer mit der sichersten verfügbaren Methode. Als am besten sieht Microsoft einen befristeten Zugriffspass an, gefolgt von der zertifikatsbasierten Authentifizierung und FIDO2-Sicherheitsschlüsseln. Erst an vierter Stelle folgen Push-Benachrichtigungen durch den Microsoft Authenticator, vor den zeitbasierten Einmalkennwörtern (Time-based One-time Password, TOTP). Letztere können von Microsoft selbst oder Drittanbieter-Apps stammen. Am unsichersten sei die klassische Telefonie, die hier SMS und Sprachanrufe umfasst.
Verantwortliche müssen die verfügbaren Authentisierungsmethoden zuvor registrieren – sie können also von vornherein festlegen, dass Nutzer zum Beispiel nie auf SMS zurückgreifen können. Wer sich mit Active-Directory-Verbunddiensten (AD FS) oder einer NPS-Erweiterung (Network Policy Server, Netzwerkrichtlinienserver) anmeldet, ist von der System-bevorzugten MFA ausgenommen.
Langfristig standardmäßig aktiviert
Generell empfiehlt Microsoft, dass Administratoren die neue Richtlinie so schnell wie möglich aktivieren, um die Sicherheit zu verbessern. Während dieser initialen Phase ist die System-bevorzugte Multi-Faktor-Authentifizierung jedoch explizit optional. Allerdings sollen künftig alle Tenants sie standardmäßig erhalten – wann dieser Schritt geschehen soll, ist aber noch offen.
Systemverwalter werden sie dann, sofern gewünscht, händisch deaktivieren müssen. Langfristig will Microsoft auch das unterbinden. Details hierzu und einen konkreten Zeitplan bleibt die Ankündigung aber noch schuldig, im Juni 2023 wollen die Redmonder weitere Informationen veröffentlichen.
(fo)
