Zwei-Faktor-Authentifizierung für ein Microsoft-Konto einrichten

    Zwei-Faktor-AuthentifizierungSeit rund einem Jahr kann man sich am Microsoft-Konto nicht nur über Benutzername und Passwort, sondern zusätzlich über eine PIN anmelden. Die Zwei-Faktor-Authentifizierung ("Prüfung in zwei Schritten") unterstützt mehrere Wege, um den benötigten Code zuzustellen, und bietet auch eine Lösung für Programme, die dieses Verfahren nicht beherrschen.

    Vorbei sind die Zeiten, als viele Benutzer in Hotmail nur einen Lieferanten von zweitklassigen Mail-Adressen sahen, die man primär für die Registrierung auf diversen Web-Seiten benötigte. Mittlerweile dienen Microsofts Mail-Adressen (unter verschiedenen Domänen) als ID für zahlreiche Dienste, so dass man auf die Sicherheit dieses Kontos achten sollte.

    ID für mehrere Dienste mit sensiblen Daten

    Neben dem Mail-Service unter outlook.com benötigt man ein Microsoft-Konto für den Zugriff auf den App Store, MSDN-Abos, den Cloud-Service Azure oder OneDrive. Einige dieser Dienste erfordern für Ihre Abrechnung die Eingabe von Kreditkarteninformationen, die dann ebenfalls im Microsoft-Konto hinterlegt werden. Seit Windows 8 dient diese ID zudem standardmäßig zur Anmeldung am Betriebssystem und zur Synchronisierung von Einstellungen.

    Selbst bei der Wahl eines starken Passworts bleibt ein gewisses Risiko, dass es ausgespäht oder geknackt wird. Kombiniert man die Anmeldung über Benutzername und Kennwort mit einem weiteren Identitätsnachweis, dann erhöht dies den Schutz vor dem Missbrauch des Kontos. Microsoft lässt dem Benutzer zu diesem Zweck ein einmalig gültiges Token zukommen, das er nur empfangen kann, wenn er Zugang zu einem registrierten Mail-Konto oder Mobiltelefon hat.

    Aktivierung der Zwei-Faktor-Authentifizierung

    Um die Zwei-Faktor-Authentifizierung zu aktivieren und zu konfigurieren, meldet man sich an seinem Microsoft-Konto unter https://account.live.com an. Dort wechselt man zu Sicherheit und Kennwort. Unter Sicherheitsinfos zum Schutz Ihres Kontos findet man die Mail-Adressen und Telefonnummern, an die eine PIN wahlweise geschickt werden kann. Falls hier etwa noch eine Handy-Nummer fehlt oder eine nicht mehr gültige Mail-Adresse hinterlegt ist, kann man sie gleich nachtragen bzw. korrigieren.

    Alle Einstellungen für die Zwei-Faktor-Authentifizierung finden sich auf der Seite "Sicherheit und Kennwort".

    Anschließend klickt man auf den Link Prüfung in zwei Schritten einrichten. Auf der ersten Seite bietet der Wizard an, eine Authentifikator-App auf einem Smartphone zu installieren.

    Die so genannten Identitätsüberprüfungs-Apps können die PIN selbst generieren.

    Dies ist die bevorzugte Methode, weil die App eine PIN selbst generieren kann, so dass keine Verbindung zum Mobilfunknetz erforderlich ist.

    Die Authentifikator-App für Windows Phone

    Wenn man sich hier für Überspringen entscheidet, kann man die App später immer noch unter Sicherheit und Kennwort => Identitätsüberprüfungs-Apps einrichten.

    Zu den weiteren Schritten bei der Einrichtung des Features gehört, dass die Kontoverwaltung einen Wiederherstellungscode generiert. Er wird benötigt, wenn man sich aus dem Microsoft-Konto ausgesperrt hat, weil man etwa das Mobiltelefon verloren hat oder die angegebene Mail-Adresse nicht mehr gültig ist. Der Wizard bietet an, diesen Code auszudrucken.

    PIN bei der Anmeldung verwenden

    Meldet man sich nach der Aktivierung der Zwei-Faktor-Authentifizierung das erste Mal über den Web-Browser an einem Microsoft-Dienst an, dann muss man über einen Dialog auswählen, auf welchem Weg man die PIN zugestellt bekommen möchte.

    Bei der Anmeldung kann man auswählen, auf welchem Weg man den Code zugestellt haben will.

    In der Liste finden sich all jene Optionen, die man zuvor unter Sicherheitsinfos hinterlegt hat. Weder Telefonnummern noch Mail-Adressen werden dabei vollständig angezeigt, vielmehr muss der Benutzer diese Angaben selbst ergänzen, was eine zusätzliche Hürde gegen den Missbrauch des Kontos sein soll. Die letzte Option in der Liste lautet Ich habe diese Infos nicht mehr. Sie wählt man dann, wenn man keinen Zugang zum Mobiltelefon oder zum angegebenen Mail-Konto hat, so dass man anschließend den Wiederherstellungscode eintippen kann.

    Der Wiederherstellungscode schaltet den Zugang zum Microsoft-Konto frei, wenn eine PIN nicht mehr zustellbar ist.

    Keine PIN-Eingabe auf vertrauenswürdigen Geräten

    Um einen Kompromiss zwischen Sicherheit und Komfort zu finden, erlaubt Microsoft, bestimmte Geräte als vertrauenswürdig zu kennzeichnen. Zu diesem Zweck enthält der Dialog zur Eingabe des Codes eine Checkbox mit der Beschriftung Ich melde mich oft an diesem Gerät an. Keinen Code anfordern. Aktiviert man sie, dann kann man sich künftig bloß durch Eingabe des Passworts anmelden.

    Bei der Eingabe des Codes kann man ein Gerät als vertrauenswürdig einstufen.

    App-Kennwörter für Outlook und andere Programme

    Während die Anmeldung mit einer zusätzlichen PIN für Microsofts Web-Dienste im Browser unproblematisch ist, kommt eine Reihe von Programmen der Zwei-Faktor-Authentifizierung nicht zurecht. Das gilt etwa für Mail-Clients wie Outlook, in denen man das Kennwort für Hotmail hinterlegt hat, die Xbox oder sonstige Software, die sich automatisch über das Microsoft-Konto anmelden möchte. Sie alle scheitern trotz Eingabe des korrekten Kennworts bei der Authentifizierung, weil sie nicht in der Lage sind, zusätzlich einen Token anzufordern.

    Die Lösung für dieses Problem besteht darin, dass man für solche Anwendungen eigene App-Kennwörter erzeugt. Für diese Aufgabe existiert unter Sicherheit und Kennwort ein eigener Abschnitt, wo man den Link Neues App-Kennwort erstellen aufruft. Die Folgeseite enthält bereits den entsprechenden Code, den man in eine Anwendung übernehmen kann. Jede von ihnen sollte ein eigenes Passwort erhalten.

    Anmeldung an Windows 8.x

    Das Wartungscenter meldet, dass man die Änderung des Microsoft-Kontos bestätigen muss.

    Möchte man sich unter Windows 8.x mit dem Microsoft-Konto anmelden, dann benötigt man dafür kein App-Kennwort. Das Betriebssystem lässt nach der Aktivierung der Zwei-Faktor-Authentifizierung weiterhin die Anmeldung über Benutzername und Passwort zu und fordert den Anwender anschließend über eine Meldung im Wartungscenter auf, die Änderungen am Microsoft-Konto zu bestätigen.

    Die Anforderung und Eingabe der PIN erfolgt unter Windows 8.1 nach dem gleichen Muster wie im Browser.

    Dies erfolgt über die gewohnte Prozedur zur Anforderung und Eingabe eines Tokens. Anschließend gilt der PC als vertrauenswürdiges Gerät, so dass es künftig bei der Anmeldung nur mehr das Kennwort abfragt.

    3 Kommentare

    Bild von RDI
    RDI sagt:
    16. Mai 2014 - 8:18

    Kann ich eigentlich grundsätzlich Google Authenticator in Windows Systeme einbinden... So ähnlich wie RSA...

    Bild von Urs
    Urs sagt:
    30. August 2016 - 20:55

    Ich habe aus Versehen die Option "Ich melde mich oft an diesem Gerät an - keinen Code anfordern" gewählt und möchte das wieder rückgängig machen. Wie kann man das tun?

    Bild von Urs
    Urs sagt:
    30. August 2016 - 21:22

    Hab das Problem gelöst!