Microsoft Authenticator: Push-Nachrichten für MFA absichern


    Tags: , ,

    MFA oder kennwortlos mit Microsoft Authenticator App anmeldenDie Authenticator App spielt eine zentrale Rolle bei der Multifaktor-Authentifizierung (MFA) sowie bei der passwort­losen Anmeldung am Azure AD. Microsoft ergänzte das Programm nun um Funk­tionen, die Nutzer gegen MFA-Angriffe schützen sollen. Diese Features lassen sich gezielt an be­stimmte Gruppen zuweisen.

    Die Authenticator App lässt sich für MFA als einfaches Softtoken nutzen, aus dem man das One Time Password (OTP) entnimmt und in den Anmelde­dialog eintippt. Als benutzer­freundlicher gilt jedoch das Push-Verfahren, bei dem die User den Vorgang nur mehr bestätigen müssen.

    Bestätigung durch Zahleneingabe

    Damit Benutzer jedoch nicht voreilig die Push-Nachricht bestätigen und so zum Opfer eines MFA-Angriffs werden, können Admins nun zusätzlich die Eingabe einer Zahl erzwingen, die in der App eingeblendet wird.

    Dabei handelt es sich in der Regel um einen zweistelligen Wert, so dass der Komfort des Push-Verfahrens erhalten bleibt. Das OTP dagegen ist üblicherweise sechs Stellen lang.

    Absicherung des Push-Verfahrens durch Eingabe einer Zahl

    Alternativ oder ergänzend dazu kann man den Anwendern weitere kontext­bezogene Informationen anzeigen, damit sie die Authentizität der Anforderung erkennen. So können Admins den Namen der Applikation einblenden, an der sich ein User gerade anmelden möchte.

    Als weitere Option lässt sich der geografische Standort auf einer Karte darstellen, von dem der Anmelde­versuch kommt. Die Lokalisierung erfolgt auf Basis von IP-Adressen.

    Anzeigen des Standorts in der Authenticator App, von dem der Anmeldeversuch kommt

    Die Ermittlung des Standorts über GPS unterstützt die App schon länger. Diese Funktion fordert die Benutzer während des Logon auf, ihren Standort zu teilen. Um hier Manipulationen zu unterbinden, verweigert die Authenticator App die Anmeldung, wenn es einen Jailbrake entdeckt oder das Smartphone gerootet wurde.

    Admins können Conditional Access dann so konfigurieren, dass etwa Standorte außerhalb bestimmter Länder blockiert werden.

    Zuweisung an bestimmte Gruppen

    Microsoft hat das Admin-Interface für die App in Azure Active Directory um eine Registerkarte erweitert, auf der man alle drei neuen Funktionen selektiv an bestimmte Gruppen zuweisen kann.

    Konfiguration der zusätzlichen MFA-Absicherung im Azure-Portal

    Die Möglichkeit, Gruppen von der Bestätigung durch Eingabe einer Zahl auszuschließen, soll aber im Februar 2023 wieder entfernt werden. Sie dient primär dazu, die Einführung dieser Features durch einen gestaffelten Roll-out zu vereinfachen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links