Im vergangenen Post habe ich über die Passowordless-Variante mit einen Security Key und dessen Deployment geschrieben. In diesem Beitrag möchte ich das Szenario Passwordless mit dem Microsoft Authenticator und der Karte als Anzeige erläutern.
Der Passwordless-Login mit dem Microsoft Authenticator bietet eine sehr praktikable Option, sich einfach und ohne zusätzliche Hardware passwortlos anzumelden. Der passwortlose Login hebt ausserdem die Sicherheit auf ein neues Niveau. Denn die meisten Angriffe passieren aufgrund von abgefangenen Passwörtern. Zudem gehen die Kennwörter oft verloren und generieren damit an vielen Orten Mehraufwände. Mit der zusätzlichen Kartenanzeige ist noch ein weiterer Faktor, um dem Benutzer Sicherheit bieten zu können gegeben. Dabei kann bereits der Push sicherer gestaltet werden.
Hier findest du den Beitrag von Microsoft zum "Number matching" und der Karte: New Microsoft Authenticator security features are now available! - Microsoft Tech Community
Table of Contents
- Demo Video - User Experience
- Voraussetzungen Azure AD
- Einstellungen Benutzer - Microsoft Authenticator
- Passwordless Login als Benutzer
- Zusammenfassung
Demo Video - User Experience
Voraussetzungen Azure AD
Als erstens müssen wir sicherstellen, dass im Azure AD die Authentifizierungs-Metode "Microsoft Authenticator" aktiv ist. Dies machen wir unter Azure AD > Security > Authentication methods.
Unter "Target" können wir aussuchen, ob die Option für alle Benutzer oder nur eine ausgewählte Gruppe verfügbar ist. Über die drei Punkte nehmen wir die Konfiguration vor:
Im Optionsmenü haben wir folgende Optionen:
| Einstellung | Optionen |
|---|---|
| Authentication method | - Any - Passwordless (Eingabe einer Zahl) - Push (Push nach Passwort Eingabe) |
| Require number matching | Enabled/Disabled Nicht nur Push, sondern auch eine Nummer zur Bestätigung muss ausgewählt werden. |
| Show additional context | Enabled/Disabled Karte mit dem Login Ort wird angezeigt. |
Ich wähle hier als Optionen die folgenden, um dem Benutzer noch die Freiheit zu geben, ob er Passowrdless nutzen möchte oder nicht.
Einstellungen Benutzer - Microsoft Authenticator
Hat der Endbenutzer den Microsoft Authenticator bereits eingerichtet und die Option «Any» ist bei der «Authentication Methode» gewählt? Das heisst, der Benutzer muss den passwortlosen Login einmalig aktivieren. Dazu kann er im entsprechenden Konto die Option unter «Enable phone sign-in» aktivieren. Ist das Smartphone noch nicht registriert, wird es in diesem Schritt dementsprechend erfasst.
Passwordless Login als Benutzer
Der Benutzer navigiert wie gewohnt zu portal.office.com, SharePoint oder einer anderen Einstiegseite. In dieser gibt er seinen Benutzernamen ein und drückt "Next".
Dem End User wird im nächsten Schritt eine Zahl präsentiert, zeitgleich bekommt er ein Pop-up des Authenticator auf seinem Smartphone in welchem er die entsprechende Zahl eingeben muss.
Der zusätzliche Kartenausschnitt hilt den Login zuzuordnen. Dies auch wenn den Login nicht Passwortlos, sonder via Push durchgeführt wird.
Anschliessend ist der Benutzer angemeldet und wird auf die gewünschte Seite weitergeleitet.
Zusammenfassung
Mit dem Microsoft Authenticator kann ein passwordless Szenario ehr gut und komfortabel umgesetzt werden, zudem bietet die Karte einen guten Anhaltspunkt, von wo aus der Login kommt. Durch das Karten-Feature wird der Benutzer sensibilisiert und auf einen möglichen Angriff von ausserhalb aufmerksam gemacht.
Die komplette Funktionalität ist sehr schnell freigeschaltet und auch der Benutzer muss keine grossen Konfigurationen seinerseits vornehmen, um die Features zu nutzen. Selbst wenn der passwortlose Login nicht in Frage kommen sollte, bietet die Karte einen grossen Mehrwert.
1 Response
[…] auf dem Handy. Genauso gibt es die Passwortlose Anmeldung mit einem FIDO Security Key oder der Authenticator App. Hierzu habe ich bereits zwei Beiträge […]