Heute kommt (in Österreich) der Krampus und wie wir wissen, ist das ein böser Geselle!
Neben seiner Rute stiehlt er neuerdings auch gerne Login-Daten und als sehr moderner Krampus hat er sich auf Online-Dienste, insbesonders Microsoft 365 fokussiert.
Das Problem
Auch wenn der Krampus heute noch hauptsächlich auf Phishing-Mails setzt und Dich und andere Benutzer dazu bringt, den Usernamen und das Passwort freiwillig auf seiner gefakten Seite einzugeben, wird das von Jahr zu Jahr schwieriger für den zotteligen Bösewicht. Weil immer mehr User den Account mit einem zweiten Faktor schützen – was diese Art des Angriffes schwierig macht.
Deswegen verlagert sich der Krampus darauf, den Authentifizierungs-Token (OAuth-Token) von Benutzern zu stehlen. Das ist etwas schwieriger in der Durchführung, wenn unser Krampus aber Zugriff auf deinen Rechner hat, ist das sehr einfach.
Das Problem ist, dass der Krampus mit diesem Token von deinem Rechner nun sehr einfach auf deine Daten in M365 zugreifen kann – weil der Token sowohl dein Passwort, als auch deine Multi-Faktor Authentifizierung und sogar den Status deines Gerätes als Unternehmensgerät enthält. Dh Schwuppdiwupp ist er auf deinen Daten.
Die einfache Lösung
Allerdings gibt es in Microsoft 365 eine einfache Möglichkeit, dieses Vorhaben dem Krampus zu verleiden. Und das wirklich coole an dieser Lösung ist, dass sie dein Login nicht nur sehr sicher macht (aus heutiger Sicht nicht hackbar, deswegen nennt man es auch Phishing resistant) sondern es macht Dir das Leben und dein Login auch viel leichter. Die Lösung heißt PASSKEY für Entra.
Wie schaut ein Login mit Passkey for Entra aus ?
Ich zeig dir mal am Beispiel von meinem Android Phone, wie einfach ein sicherer Login mit Passkey ist (bevor ich dir dann zeige, wie du es einrichten kannst). Ich rufe https://Office.com auf und klicke auf Anmelden und gebe meine Mailadresse ein.
Das System erkennt, dass mein Account einen Passkey hat und ich kann mein Android Phone auswählen
Bin ich auf diesem Rechner noch nicht verbunden mit meinem Android Phone oder nutze ich ein IPhone, zeigt das System einen QR-Code, den ich mit der Microsoft Authenticator-App auf meinem Phone scanne (QR-Code aus Sicherheitsgründen gefärbt)
Das Handy fragt mich nun, ob ich meinen Account zur Anmeldung verwenden möchte:
und nach einer Bestätigung mit meinem Finger bin ich angemeldet
Ohne ein Passwort einzugeben, ohne einen zweiten Faktor verwenden zu müssen, schnell und einfach.
Nachteil:
Ich muss mir mittlerweile mein Kennwort in der Firma aufschreiben, weil ich mich am PC mit Hello for Business (übrigens ist das ebenfalls phishing resistant) anmelde und überall anders mit meinem Passkey. Das Passwort brauch ich nur noch, wenn ich es wechseln muss.
Aber halt – eine kleine Einschränkung gibt es:
Das Telefon muss sich in der Nähe des Rechners befinden, auf dem ich mich anmelde – dh das ganze funktioniert mit virtuellen Desktops nicht.
Wie richte ich das ein ?
Keine Angst, selbst wenn ihr heute schon 2 Glühwein getrunken habt, schafft ihr das!
Es gibt 2 Voraussetzungen:
- Euer Admin muss das freigeschalten haben (Anleitung für den Admin ganz unten im Artikel)
- Ihr müsst euren 2. Faktor im Microsoft Authenticator gespeichert haben
(Solltet ihr auf Android einen privaten und geschäftlichen Bereich haben, muss der Authenticator im geschäftlichen Bereich sein)
Jetzt ruft ihr den Authenticator auf und klickt auf euren Account und wählt den Punkt: Passkey erstellen
Danach müßt ihr euch (das letzte Mal) anmelden
Und fertig ist es
Ab diesem Zeitpunkt kannst Du Dich ganz bequem über diese sichere Methode anmelden – du kannst selbstverständlich jederzeit eine andere Anmeldemethode wählen.
Wenn das bei nicht geklappt hat, hat wahrscheinlich dein Admin dieses Feature nicht freigeschalten – schick ihm diesen Artikel und hier ist die Anleitung für ihn (damit fängst Du als User jetzt nix an)
Wie aktiviere ich das als Admin?
Die Passkey-Nutzung ist (leider) per Default deaktiviert im Tenant. Aber mit wenigen Klicks aktivierbar:
Geht auf das Entra-Portal zum Punkt: Authentication methods und wählt dort „Passkey (FIDO2)“ aus
Authentication methods – Microsoft Entra admin center
Das für alle enablen – damit passiert mal beim User gar nichts
Unter Configure soll es so aussehen:
Und das wars – am besten bei der Gelegenheit sofort mit dem Admin-Account testen und danach in Conditional Access verpflichtend für alle Admin Rollen machen….
Machen wir gemeinsam die IT Welt wieder ein wenig einfacher und sicherer!
