[English]Microsoft unterstützt ab sofort die kennwortlose Anmeldung am Microsoft-Konten. Das hat das Unternehmen zum 15. September 2021 in einem Blog-Beitrag mitgeteilt. Damit sollte die Anmeldung an Windows, an Office oder weitere Microsoft-Dienste mittels der Authenticator-App auch ohne Eingabe eines Kennworts möglich sein. Microsoft möchte mit diesem Schritt die Sicherheit der Systeme erhöhen.
Anzeige
Die Anmeldung an Windows war bisher per Kennwort, PIN oder über Kamera mittels Hello möglich. Über ein Microsoft-Konto soll jetzt auch eine Anmeldung ohne ein Kennwort funktionieren. Das Ganze ist in diesem Microsoft-Beitrag beschrieben – ich bin über nachfolgenden Tweet auf das Thema gestoßen.
Das Problem, welches man lösen möchte: Nutzer mögen keinen Kennwörter, denn die Eingabe ist lästig und fehlerträchtig. Nutzer können sich diese Kennwörter nicht merken und schreiben diese auf – oder verwenden Trivial-Kennwörter, die sich erraten lassen. Das Erbeuten von Kennwörtern für Online-Zugänge ist ein Hauptziel für Phishing- und Cyber-Angriffe. Sicherheitsforscher raunen daher auch schon mal so was wie Hacker brauchen nicht in Systeme einzubrechen, die melden sich schlicht regulär an und gut ist.
Andererseits stellen Kennwörter seit Jahrzehnten die wichtigste Sicherheitsebene zur Zugangskontrolle für Funktionen wie Betriebssysteme, Postfächer, Internetkonten etc. dar. Der Trend geht aber hin zu kennwortlosen Benutzerkonten, bei denen die Authentifizierung über andere Wege erfolgt (Zweifaktor-Authentifizierung).
Anzeige
Bereits im März 2021 hatte Microsoft bekannt gegeben, dass die passwortlose Anmeldung für kommerzielle Nutzer allgemein verfügbar sei und diese Funktion nun für Unternehmen auf der ganzen Welt bereitstehe. Ab sofort können Nutzer nun das Kennwort aus ihrem Microsoft-Konto vollständig entfernen.
Statt eines Kennworts lassen sich die Microsoft Authenticator-App, Windows Hello, oder ein Sicherheitsschlüssel oder ein an Ihr Telefon oder Ihre E-Mail gesendeter Verifizierungscode zur Anmeldung verwenden. Damit können sich Anwender über ein Microsoft Konto mit den genannten Authentifizierungsverfahren an Anwendungen und Dienste wie Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety etc. anmelden. Diese Funktion wird durch Microsoft aber schrittweise in Wellen in den kommenden Wochen eingeführt.
Zuerst muss die Authenticator-App für Android oder iOS auf einem Gerät installiert werden. Ist die App eingerichtet, lässt sich die Umstellung unter account.microsoft.com über die Option Sicherheit -> Zusätzliche Sicherheitsoptionen mit der Option Kennwortloses Konto vornehmen. Microsoft hat diesen Blog-Beitrag veröffentlicht, in dem die kennwortlose Anmeldung für Microsoft Edge und Microsoft 365-Apps beschrieben wird.
Anzeige
Man nutzt also ne App auf dem Handy, was noch mehr Lücken hat als Microsofts OS selber … sehr vertrauenserweckend. Einzig der Sicherheitsschlüssel bietet wirkliche Sicherheit, hat aber den Nachteil verlegt: kommt man nicht mehr rein, (naja wer sein PW vergisst steht genauso dumm da) gestohlen und der andere kommt rein.
PW mit 2FA ist schon ne sichere Sache wenn der Mensch der es nutzt seinen Kopf nicht nur dafür hat, das es nicht in den Hals regnet ;-)
Was wir bräuchten wäre endlich nen IT Führerschein. Den leider gilt halt auch 2021 immer noch in 98% der Fehler sitzt die Ursache zwischen Stuhl und Tastatur.
kein Scheiss! denn gibt es schon: der EU PC Führerschein!
:)
Vorwärts zur weiteren Verblödung… oder zur weiteren vollständigen Kontrolle.
Android, Apfel und Windows in einer "unheiligen" Allianz.
Es wird lange Zeit, wenn überhaupt keinen IT Führerschein geben. Die Leute realisieren nicht, dass sie immer weiter verblöden (sorry). Die Schulbildung wird doch immer besser (Ironie) und Fernsehen "blödet" auch. Erinnert mich ein wenig an "Trisolaris".
Wenn ich das richtig verstehe, dann benötigt man zum anmelden nur noch den aktuellen Code aus der App?
Das ist doch ein klarer Rückschritt im Vergleich zu Passwort + 2FA Code von einem anderen Gerät.
Jahrelang hat man versucht die Anwender sinnvollerweise von 2FA zu überzeugen. Jetzt sagt Microsoft: Wenn ihr für Sicherheit zu faul seid, dann machen wir halt weniger davon?
Na hoffentlich wird der Code auch benutzerfreundlich generiert und ist maximal zweistellig und aus Zahlen. Nicht das ein Anwender noch Knoten in den Fingern bekommt. Ich bin wohl langsam zu alt das zu verstehen.
Hoffen wir mal, dass man das in Firma nicht wieder aufwendig begründet abräumen muss …
Genau das kann die App aber auch bieten. QNAP-NAS unterstützen 2FA per Authenticator.
Bei einem untergejubelten Keylogger sind die Vorzüge statischer PW ziemlich begrenzt, egal wie lang diese sind.
Ich halte diesen Schritt für überfällig, wenn auch mit einigen Problemstellungen behaftet. Wirklich sicher sind nicht Apps auf unkontrollierten Handys sondern Hardware-Token. Etwas ähnliches bietet MS bereits an und unterstützt Fido.
Davon abgesehen habe ich eine Frage: Ist die Anwendung der passwortlosen Authentifizierung auch in Kombination mit klassischem Kennwort möglich? Falls nein – warum sollte man sich auf eine der Alternativen beschränken und nicht mehrere Möglichkeiten kombinieren könen?
Die Authenticator-App unterstützt 2FA mit klassischen PW.
Als 2 Faktoren sind schon immer beliebig kombinierbar. Und jetzt kannst du, wenn du möchtest, das Passwort einfach ausschließen. Also immer 2 aus den 3 Gruppen "was du hast", "was du bist", "was du weißt". Und in diesen kann man ja etliche Faktoren hinterlegen. Muss man natürlich auch, damit man z. B. ein Smartphone verlieren darf. Der Unbedarfte bekommt das aber eh nicht mit und löscht sein Kennwort nicht. Für IT Pros hingegen ein Segen!
Das ist also nicht das absolut geniale wirklich ehrlich passwortfreie FIDO2,
sondern eine Art "Remote 2FA Device"?
Kannte ich schon vor Jahren:
Damals mußte man ein der IT anrufen und die lasen dann von ihren RSA-Token den 2. Faktor aus.
So in etwa?
FIDO2 ist wirklich "inherent" sicher.
Der Nachteil:
Es ist kompliziert Sicherheitskopien/Backsup zu machen.
Evtl. muß man ein Passwort in den Stick eingeben.
Der Stick rel. teuer.
Google, facebook &Co können keinen "Loginservice" anbieten, um zu sehen wo ihre Kunden sonst noch zugange sind und wieviele…
Der Vorteil:
Es gibt auf dem Server nichts zu holen, was man zum Einbrechen nutzen könnte.
Man müßte genau den Stick dinglich klauen, in dessen Account man will.
Das ist mühsamer als 100000de Passwörter mit einem Copy zu klauen…
Aber das hier?
Das ist doch Praktisch nur ein One-time-Passwort, wie es das bei jeder Paketstation gibt.
Das ist eine nette Idee, aber für eine derartige Authentifizierung muss man online sein. Für Notebooks etc. halte ich daher davon erstmal garnichts.
Nein, man muss nicht online sein. Lediglich die Uhrzeit von Smartphone und PC muss synchron sein.
Das Verfahren ist mehr Challenge-Response und bedarf Internetz.
Wie 1St1 schon erwähnt hat, ist es ungünstig, wenn man irgendwo im Keller/Tiefgarage beim Kunden ist und dann erst sein Login-Token laden muss. Klassisches TOTP oder Hardware (vgl. Yubikey 5 NFC) halte ich für konsequenter für nen sicheren 2. Faktor.
Ich habe soeben auf dem Smartphone, ohne Internetverbindung, den Schlüssel zum Login generiert und mich erfolgreich eingeloggt. Es mag sein, dass die App gelegentlich Internet benötigt (zumindest für den Timeserver), aber nicht permanent.
Ist ne tolle Idee von MS. Das Blöde ist nur, man kann es nach Aktivierung nicht wieder deaktivieren. Das Feld zur Neueingabe eines PWs poppt kurz auf und ist weg. Login ins MS Mail Konto benötigt jetzt ein App-PW. Schön wenn man das auf diversen Geräten eingerichtet hat…
Nicht zu Ende gedacht MS…
Hat sich zufällig mal wer bei Kuketz rumgetrieben?
https://www.kuketz-blog.de/microsoft-authenticator-app-sicherkritische-app-mit-tracking-bibliotheken-bad-idea/
Ja, jetzt ist das Microsoft Konto bombensicher. Jawoll.