Zum Inhalt
Home » Passwordless mit dem Microsoft Authenticator und Karte

Passwordless mit dem Microsoft Authenticator und Karte

Passwordless Microsoft Authenticator

Im vergangenen Post habe ich über die Passowordless-Variante mit einen Security Key und dessen Deployment geschrieben. In diesem Beitrag möchte ich das Szenario Passwordless mit dem Microsoft Authenticator und der Karte als Anzeige erläutern.

Der Passwordless-Login mit dem Microsoft Authenticator bietet eine sehr praktikable Option, sich einfach und ohne zusätzliche Hardware passwortlos anzumelden. Der passwortlose Login hebt ausserdem die Sicherheit auf ein neues Niveau. Denn die meisten Angriffe passieren aufgrund von abgefangenen Passwörtern. Zudem gehen die Kennwörter oft verloren und generieren damit an vielen Orten Mehraufwände. Mit der zusätzlichen Kartenanzeige ist noch ein weiterer Faktor, um dem Benutzer Sicherheit bieten zu können gegeben. Dabei kann bereits der Push sicherer gestaltet werden.

Hier findest du den Beitrag von Microsoft zum «Number matching» und der Karte: New Microsoft Authenticator security features are now available! – Microsoft Tech Community

Inhaltsverzeichnis

Demo Video – User Experience

Voraussetzungen Azure AD

Als erstens müssen wir sicherstellen, dass im Azure AD die Authentifizierungs-Metode «Microsoft Authenticator» aktiv ist. Dies machen wir unter Azure AD > Security > Authentication methods.

Unter «Target» können wir aussuchen, ob die Option für alle Benutzer oder nur eine ausgewählte Gruppe verfügbar ist. Über die drei Punkte nehmen wir die Konfiguration vor:

Im Optionsmenü haben wir folgende Optionen:

EinstellungOptionen
Authentication method– Any
– Passwordless (Eingabe einer Zahl)
– Push (Push nach Passwort Eingabe)
Require number matchingEnabled/Disabled
Nicht nur Push, sondern auch eine Nummer zur Bestätigung muss ausgewählt werden.
Show additional context Enabled/Disabled
Karte mit dem Login Ort wird angezeigt.

Ich wähle hier als Optionen die folgenden, um dem Benutzer noch die Freiheit zu geben, ob er Passowrdless nutzen möchte oder nicht.

Einstellungen Benutzer – Microsoft Authenticator

Hat der Endbenutzer den Microsoft Authenticator bereits eingerichtet und die Option «Any» ist bei der «Authentication Methode» gewählt? Das heisst, der Benutzer muss den passwortlosen Login einmalig aktivieren. Dazu kann er im entsprechenden Konto die Option unter «Enable phone sign-in» aktivieren. Ist das Smartphone noch nicht registriert, wird es in diesem Schritt dementsprechend erfasst.

Passwordless Login als Benutzer

Der Benutzer navigiert wie gewohnt zu portal.office.com, SharePoint oder einer anderen Einstiegseite. In dieser gibt er seinen Benutzernamen ein und drückt «Next».

Dem End User wird im nächsten Schritt eine Zahl präsentiert, zeitgleich bekommt er ein Pop-up des Authenticator auf seinem Smartphone in welchem er die entsprechende Zahl eingeben muss.
Der zusätzliche Kartenausschnitt hilt den Login zuzuordnen. Dies auch wenn den Login nicht Passwortlos, sonder via Push durchgeführt wird.

Anschliessend ist der Benutzer angemeldet und wird auf die gewünschte Seite weitergeleitet.

Zusammenfassung

Mit dem Microsoft Authenticator kann ein passwordless Szenario ehr gut und komfortabel umgesetzt werden, zudem bietet die Karte einen guten Anhaltspunkt, von wo aus der Login kommt. Durch das Karten-Feature wird der Benutzer sensibilisiert und auf einen möglichen Angriff von ausserhalb aufmerksam gemacht.

Die komplette Funktionalität ist sehr schnell freigeschaltet und auch der Benutzer muss keine grossen Konfigurationen seinerseits vornehmen, um die Features zu nutzen. Selbst wenn der passwortlose Login nicht in Frage kommen sollte, bietet die Karte einen grossen Mehrwert.

1 Gedanke zu „Passwordless mit dem Microsoft Authenticator und Karte“

  1. Pingback: Azure MFA: Return of the Hardware Token (OATH TOTP) | scloud

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.