Einleitung
Für MFA und den self-service password reset in Microsoft 365 können viele verschiedene Methoden verwendet werden. Dabei gibt es unsichere, weniger sichere, sichere und sogar phishing-resistente Methoden.
Selbst eine unsichere MFA Methode ist immer noch besser als gar kein MFA. Wenn man die Sicherheit aber weiter verbessern möchte, sollte man auch hier ansetzen.
Früher gab es in Microsoft 365 nur getrennte Methoden für MFA und self-service password reset. Diese mussten auch an verschiedenen Stellen konfiguriert werden. Mittlerweile bietet Microsoft 365 auch eine Konfiguration der Methoden für MFA und password reset an. Man kann nur die alten Methoden nutzen, nur die neuen oder eine Kombination aus beidem. In diesem Artikel geht es nicht um die Migration der Methoden, bei Interesse verweise ich auf die Microsoft Dokumentation: https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-authentication-methods-manage
Um die verschiedenen Methoden zu erklären, unterscheide ich zwischen alten und neuen Methoden. Bei den alten Methoden muss noch zusätzlich nach MFA und self-service password reset unterscheiden.
Alte Methoden – MFA
App passwords
Ist diese Methode aktiviert, können Benutzer sich app passwords generieren. Diese können dann anstatt des Passworts eingegeben werden und werden als Anmeldung mit einem zweiten Faktor gewertet. Natürlich ist das nicht wirklich ein zweiter Faktor und sollte über ein Verbot von legacy authentication deaktiviert werden.
Trusted IPs
Der Gedanke hinter trusted IPs ist, dass man von bestimmten IP Adressen aus kein MFA machen muss. Im Sinne von Zero Trust sollte man heute auch für Anfragen von bekannten IP Adressen MFA erforderlich machen.
Call to phone
Hier wird von Microsoft 365 ein Anruf getätigt, bei dem die Anmeldung mit dem Druck auf eine Taste bestätigen kann. Aufgrund von verschiedenen Angriffsmöglichkeiten auf SIM Karten (SIM swapping) ausgenutzt werden und ist daher als weniger sicher zu betrachten.
Text message (SMS) to phone
Das Einmalpasswort für MFA wird per SMS übermittelt. Ist als weniger sicher zu betrachten, da SMS von Angreifern mit SIM swapping oder SS7 Attacken umgeleitet werden können.
Notification through mobile app
Nach der Anmeldung wird eine Nachricht an den Microsoft Authenticator geschickt, die bestätigt werden muss. Gehört zu den sicheren Methoden.
Verification code from mobile app or hardware token
Das Einmalkennwort muss aus einer Authenticator app (diese muss nicht von Microsoft sein) oder von einem Hardwaregerät abgelesen. Gehört zu den weniger sicheren Methoden, da das Einmalkennwort leicht über Phishingangriffe erlangt werden kann.
Alte Methoden – self-service password reset
Mobile app notification
Siehe oben bei Notification through mobile app
Mobile app code
Siehe oben bei Verification code from mobile app or hardware token
Hier wird ein Einmalkennwort per Email übermittelt. Da das unverschlüsselt passiert, ist es eine weniger sicherere Methode.
Mobile phone (SMS only)
Siehe oben bei Text message (SMS) to phone
Office phone
Siehe oben bei Call to phone
Security questions
Hier muss der Benutzer zum zurücksetzen seines Passworts eine festgelegt Zahl an Sicherheitsfragen beantworten. Viele dieser Fragen sind von Angreifern social engineering zu erlangen. Damit ist diese Methode sehr unsicher.
Neue Methoden
Wie oben beschrieben, können die neuen Methoden sowohl für MFA, als auch für self-service password reset verwendet werden, wobei es Ausnahmen gibt.
FIDO2 security key
Kann nur für MFA genutzt werden.
FIDO2 security keys sind kleine Hardwareschlüssel in Form ähnlich zu einem USB Stick. Diese MFA Methode ist sehr sicher und sogar phishing-resistant, da ein Angreifer ja im Besitz des FIDO2 keys sein müsste.
Microsoft Authenticator
Je nach Konfiguration kann der Microsoft Authenticator sicher sein (push notifications), oder weniger sicher (one-time password, OTP). OTP ist weniger sicher, da die Nummer über einen Phishing Angriff erlangt werden könnte.
SMS
Siehe oben bei Text message (SMS) to phone
Temporary Access Pass
Kann nur für MFA genutzt werden.
Ein TAP kann von Administratoren erstellt und Benutzern zur Verfügung gestellt werden, um dieses für die MFA Anmeldung zu verwenden. Das ist nützlich bei der Ersteinrichtung eines Accounts oder bei Verlust einer anderen MFA Methode (Handy mit Authenticator, FIDO2 key etc.). Ein TAP ist als sicher zu betrachten, da es als temporärer Ersatz dient und nicht als dauerhafte MFA Möglichkeit.
Hardware OATH tokens
Siehe oben bei Verification code from mobile app or hardware token
Third-party software OATH tokens
Siehe oben bei Verification code from mobile app or hardware token
Voice call
Siehe oben bei Call to phone
Email OTP
Siehe oben bei Email
Certificate-based authentication
Hier wird ein klassisches Zertifikat für MFA genutzt. Das ist eine sichere und sogar phishing-resistant, da das Erlangen einen Zertifikats über einen Phishingangriff sehr schwer ist.
Windows Hello for Business
Nicht konfigurierbar und immer aktiviert ist Windows Hello for Business als MFA Methode. Hier ist das Gerät selbst der zweite Faktor, abgesichert über einen TPM Chip. Windows Hello for Business ist sehr sicher und phishing-resistant, da man im physischen Besitz des Geräts sein muss.
Zusammenfassung
Um nicht nur MFA zu nutzen, sondern auch sicheres MFA, sollte man unsichere MFA Methoden abschalten, oder besser noch nur phishing-resistant Methoden ausrollen und erlauben. Dafür empfiehlt es sich die Methoden auf die neue Verwaltung zu migrieren, um alles an einer Stelle konfigurieren zu können.
Um die drei phishing-resistant Methoden auch noch zusammenzufassen: Windows Hello for Business, FIDO2 key und Zertifikate benötigen einen physischen Zugriff und sind damit nur sehr schwer durch einen Phishing Angriff zu erlangen.