Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Microsoft stellt 2FA Methode Anruf/SMS ein

Philipp2501
in Windows

Empfohlene Antworten

Veröffentlicht

Hallo zusammen,

 

wir sind bei uns in der IT ein bisschen am grübeln, wie wir das zukünftig handhaben wollen mit einer alternativen 2FA-Authentifizierungs Methode, da Microsoft die Authentifizierung über einen Anruf oder SMS eingestellt hat, weil es schon seit längerem für unsicher eingestuft wurde seitens Microsoft.

 

Ja, wir wissen auch, dass die direkte alternative die von Microsoft selbst bereitgestellte Lösung ist in Form von "Microsoft Authenticator" als App darstellen soll.

 

Nur sollen wir jetzt jedem Mitarbeiter sagen, er ist verpflichtet sein Privates Handy (nur wenige haben ein Diensthandy bei uns) zu benutzen für die 2FA? Und wie sieht es rechtlich aus, kann man das so überhaupt machen und durchsetzen? Aktuell geht der bisherige 2FA-Anruf an das Arbeitstelefon, das am Arbeitsplatz fest steht.

 

Wie handhaben das andere Firmen, gibt es welche hier mit demselben Problem?

 

Über jeden Rat bin ich dankbar!

Bearbeitet von Philipp2501

vor 23 Minuten schrieb Philipp2501:

Hallo zusammen,

wir sind bei uns in der IT ein bisschen am grübeln, wie wir das zukünftig handhaben wollen mit einer alternativen 2FA-Authentifizierungs Methode, da Microsoft die Authentifizierung über einen Anruf oder SMS eingestellt hat, weil es schon seit längerem für unsicher eingestuft wurde seitens Microsoft.

Ja, wir wissen auch, dass die direkte alternative die von Microsoft selbst bereitgestellte Lösung ist in Form von "Microsoft Authenticator" als App darstellen soll.

Nur sollen wir jetzt jedem Mitarbeiter sagen, er ist verpflichtet sein Privates Handy (nur wenige haben ein Diensthandy bei uns) zu benutzen für die 2FA? Und wie sieht es rechtlich aus, kann man das so überhaupt machen und durchsetzen? Aktuell geht der bisherige 2FA-Anruf an das Arbeitstelefon, das am Arbeitsplatz fest steht.

Wie handhaben das andere Firmen, gibt es welche hier mit demselben Problem?

Über jeden Rat bin ich dankbar!

Wir haben es so gemacht, einmal eine Umfrage im Unternehmen gemacht, wer alles sein Privat Handy dafür nutzen will, und dem Rest haben wir TOTP-Geräte bestellt.

Bei uns bekommt ausnahmslos jeder User einen TOTP-Token, auf dem Geschäftshandy ist die zusätzliche Einrichtung der Authenticator App Pflicht. Zusätzlich wird den Usern ohne Geschäftshandy angeboten dass sie sich das HOTP via MS Authenticator App einrichten können, aber nicht müssen.

Für Dienstleister die ab und zu bei uns auf die Systeme können und dafür unbeaufsichtigten Zugriff haben, ist die Einrichtung eines HOTP Pflicht, wie die das dann bei sich umsetzen ist nicht unser Problem.

Wo steht dass MFA via SMS eingestellt wurde? Aktuell gibt es eine Kampagne um die User auf sicherere Methoden zu bewegen, aber diese könnt ihr als Admins auch abbrechen. Mir wäre nicht bewusst dass es eine Abkündigung gibt.

Man kann die Mitarbeiter nicht verpflichten ihr privates Gerät zu nutzen. Die Antwort ist typischerweise Firmenhandys und FIDO Keys für den Rest. 

Wir haben die Wahl gestellt: Nimm dein privates Handy (oder dein Firmenhandy wenn du eins hast), das Ding speichert keine Firmendaten oder sonstwas, ist ne stinknormale App, die firmenseitig keine Kontrolle erlaubt (die Analogie zum MFA beim Onlinebanking hat da ganz gut geholfen) OOOODER du kriegst so nen clunky TOTP-Token.

Den hat glaube ich genau eine Person gehabt, weil sie kein Smartphone besitzt....wobei das mittlerweile glaube ich auch auf Auth-App umgestellt ist mit nem neuen Handy.

Edith: Wir haben eine IP-basierte Ausnahme in unseren Büros, der MFA-Token wird nur bei Admins und bei Web/VPN-Einwahl abgerufen

Bearbeitet von Bitschnipser

vor 34 Minuten schrieb alex123321:

Wo steht dass MFA via SMS eingestellt wurde? 

Kann meiner Meinung nur eine Empfehlung sein, wenn man dem Artikel glauben schenken darf.

https://www.heise.de/news/Schluss-mit-der-SMS-Microsoft-will-die-sicherste-Anmeldemethode-vorschreiben-9059967.html

Auch auf der MS Homepage habe ich bisher davon auch noch nichts gelesen, man möge bitte die Quelle nachreichen, wenn dem so sei.

Ansonsten wäre das meiner Meinung nach in diesem Support Artikel sicher verlinkt.

https://support.microsoft.com/de-de/account-billing/einrichten-der-sms-anmeldung-als-methode-zur-telefonüberprüfung-0aa5b3b3-a716-4ff2-b0d6-31d2bcfbac42

Bearbeitet von tkreutz2

vor 35 Minuten schrieb alex123321:

Wo steht dass MFA via SMS eingestellt wurde? Aktuell gibt es eine Kampagne um die User auf sicherere Methoden zu bewegen, aber diese könnt ihr als Admins auch abbrechen. Mir wäre nicht bewusst dass es eine Abkündigung gibt.

Man kann die Mitarbeiter nicht verpflichten ihr privates Gerät zu nutzen. Die Antwort ist typischerweise Firmenhandys und FIDO Keys für den Rest. 

Man hat dann nur noch 3x oder 5x die Möglichkeit mit SMS und dann wird man gezwungen dieses App oder ein Token einzusetzen!

vor 41 Minuten schrieb alex123321:

Wo steht dass MFA via SMS eingestellt wurde? Aktuell gibt es eine Kampagne um die User auf sicherere Methoden zu bewegen, aber diese könnt ihr als Admins auch abbrechen. Mir wäre nicht bewusst dass es eine Abkündigung gibt.

Wäre mir auch neu. Im Firmeninternen HelpDesk haben sie zwar schon mal einen extra Button eingefügt (zur Vorsicht), aber bei 6.000 User auch sinnvoll.

Ich bin gespannt :D

Bearbeitet von eulersche_Zahl

vor 28 Minuten schrieb CrazyS.:

Man hat dann nur noch 3x oder 5x die Möglichkeit mit SMS und dann wird man gezwungen dieses App oder ein Token einzusetzen!

Mir ist nichts bekannt, was nicht von einem Admin überschrieben werden kann. Sonst wär der Aufschrei um ein Vielfaches größer

Nutzt FIDO Keys und Windows Hello statt TOTP. TOTP sind schwerer zu managen, nicht phishing-resistent und haben ne schlechtere UX. 

IP-basierte MFA Ausnahmen sind vollkommener Murks und gegen jede Best-Practice. Eine Ausnahme in Conditional Access für Managed & Compliant Devices hätte ich fast noch verstanden, aber es gibt inzwischen eigentlich keine valide Begründung MFA zu umgehen. 

vor 41 Minuten schrieb tkreutz2:

Gibt es auch im Key-Card Format z.B.

https://www.token2.com/shop/product/token2-miniotp-2-i-programmable-card-with-time-sync-totp-hardware-token

Die hatten wir bevor wir zur MS Auth Methode umgestiegen sind, da waren die nur fürs VPN. Beliebter war aber immer das Schlüsselanhängerformat, weil diese Kreditkarten halt doch zu fett für den Geldbeutel sind und sonst keinen "Verlierschutz" haben

    Mir ist das, für normale User, auch neu.

    Das einzige, wo ich folgendes erlebt habe:

    vor 2 Stunden schrieb CrazyS.:

    Man hat dann nur noch 3x oder 5x die Möglichkeit mit SMS und dann wird man gezwungen dieses App oder ein Token einzusetzen!

    Ist, wenn ein Benutzer Adminrollen in einem Bereich hat. Wir haben z.B. einen Benutzer, der in Intune die via LAPS vergebenen, lokalen und routierenden Kennwörter einsehen können soll. Die Rolle, mit welcher er das darf, untersagt aber dann auch Nutzung von SMS als MFA-Methode. Normale Benutzer, mit einfachen Userrollen bleiben davon aber unberührt.

    • Autor

    Hallo zusammen,

    erstmal vielen Dank für die zahlreichen Beiträge und Informationen dazu, das hat schonmal sehr geholfen.

    Zur der Sache mit der Quellenangabe kann ich leider nichts genaueres angeben als die anderen hier schon getan haben. Ich kann nur soviel sagen, das diese Information bei uns intern weitergereicht wurde und die SMS/Anruf Funktion verschwinden wird in Zukunft.

    Bearbeitet von Philipp2501

    Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.

    Zur Themenliste gehen

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.