Kategorien
Sonstiges

Kennwortlose Anmeldung an Microsoft Office 365

Multi-Faktor-Authentifizierung (MFA) ist verbreitet, um ein Login über das eigene Passwort hinaus abzusichern. Häufig kommen Einmalkennwörter zum Einsatz, die z.B. in einer Authenticator App auf dem Smartphone erzeugt und manuell in die Anwendung übertragen werden. Microsoft bietet nun eine vollständig kennwortlose Anmeldung für seine Dienste, darunter Office 365. Wie funktioniert das – und kann das sicher sein?

Viele Anwender empfinden MFA-Abfragen als umständlich und unkomfortabel. Daher experimentieren Anbieter mit möglichen Alternativen – als zweiter Faktor oder gleich ganz ohne Passwort. In diese Kategorie fallen u.a. biometrische Merkmale oder auch die zunehmend an Bekanntheit gewinnenden FIDO2-Keys.

Ist Anmeldung ohne Passwort sicher?

Als eines der größten prinzipbedingten Sicherheitsrisiken bei der traditionellen Anmeldung per Benutzername und Kennwort gilt die Speicherung des Passworts: Immer wieder kommt es zu Datenpannen, bei denen Angreifer Datenbanken mit Passwörtern erbeuten. Microsoft verfolgt daher schon seit Jahren die Vision, die Speicherung von Passwörtern an zentraler Stelle überflüssig zu machen.

Passwordless approach

Folie von der Microsoft Ignite 2017

Microsoft testet aktuell zwei Ansätze zur vollständig passwortlosen Anmeldung: Windows Hello for Business sowie über die Microsoft Authenticator App – das letztgenannte Verfahren möchte ich kurz vorstellen. Beide Verfahren nutzen eine Kombination aus zuvor als vertrauenswürdig deklarierten Geräten, biometrischen Merkmalen und/oder PINs. Sie sollen den Anmeldevorgang für den Anwender komfortabel gestalten und gleichzeitig die Sicherheit erhöhen.

Passwordless Sign-In für Microsoft Office 365 konfigurieren

Die Einrichtung der kennwortlosen Anmeldung beschreibt Microsoft anschaulich und ausführlich. In Kurzform sind folgende Schritte notwendig

  • Sicherheitsrichtlinie zur kennwortlosen Anmeldung aktivieren (für alle oder einzelne Nutzer) – zu finden im Azure Portal unter Azure Active Directory > Security > Authentication methods > Authentication method policy (Preview) 
    • Im Gegensatz zur Dokumentation war es bei meinen Tests nicht zwingend notwendig, die Combined Registration Experience zu aktivieren
  • Telefongestützte Authenticator App als Login-Methode aktivieren (nicht vergessen, zusätzlich innerhalb der Authenticator-App über das Pfeilsymbol rechts neben dem betroffenen Konto die Telefonanmeldung zu aktivieren!)

Kennwortlose Anmeldung für Microsoft Office 365 verwenden

Nach der erfolgreichen Aktivierung ist eine Anmeldung an den Diensten von Microsoft (z.B. über http://office.com im Webbrowser) folgendermaßen möglich: Nach Eingabe des Benutzernamens erscheint an Stelle der Passwortabfrage im Browser eine Zahl. In der Microsoft Authenticator App werden drei verschiedene Zahlen angezeigt – die im Browser angezeigte Zahl muss durch Antippen bestätigt werden.

phone-sign-in-microsoft-authenticator-app

Bei meinen Tests funktionierte dies mit Internet Explorer 11, Firefox 60 ESR (64-bit, Windows) sowie Chrome 78 (64-bit, Windows). Mit Microsoft Edge („alte“ Version, ohne Chromium-Unterbau) hat es bei meinen Tests nicht funktioniert und ich wurde stattdessen weiterhin nach meinem Passwort (und anschließend nach Durchführung einer Genehmigungs-Aktion in der Authenticator App) gefragt.

Kennwortlose Anmeldung am Surface Hub 2S

Als besonders nützlich und praktisch empfinde ich die kennwortlose Anmeldung am Surface Hub 2S. Um mich dort mit meinem persönlichen Account anzumelden (um z.B. auf meine OneDrive-Dateien zuzugreifen oder mein Whiteboard zu speichern), brauche ich nun nicht mehr umständlich und langwierig über die Bildschirmtastatur mein Passwort einzugeben, wo zudem die Eingabe von allen Kollegen vor dem Display mitgelesen werden konnte. Ein Beitrag zum Datenschutz und zur IT-Sicherheit.

 

 

 

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.