23. January 2023 Roman Jucker

Was ist MFA Authenticator Prompt SPAMMING/FATIGUE, und was macht Microsoft dagegen ?

Und die Mitarbeiter so… Was, nein, wieso ?

Um was geht es genau beim Thema: MFA Number Matching?
In einem Wort, Security! Mehr Wörter gefällig ? Dann bitte weiterlesen.

Microsoft hat festgestellt, dass leider einmal mehr der humane Faktor eine Schwachstelle in dem ganzen Anmeldeprozedere an M365/Office365 ist, und zieht da jetzt die Schraube weiter an. Wir haben ja alle hoffentlich die Authentisierung auf firmenfremden Geräten ausschliesslich mit MFA Prompt in die App zugelassen?!? Gut!

Problem ist jetzt aber, dass ein Mitarbeiter hypothetisch (ist in Tat und Wahrheit wahrscheinlich so bei 80% Wahrscheinlichkeit) in anderen Cloud-Services das gleiche Passwort braucht, wie er es auch im Geschäft braucht, zum Anmelden nehme ich auch grad vorname.nachname@firma.ch.
Nun angenommen, der Cloudservice wird gehackt… Mitarbeiters XY Passwort ist jetzt im Netz für alle die wissen wo Suchen verfügbar!

Kein Problem, wir haben ja MFA implementiert, oder?
Nein, leider nicht. Denn Microsoft hat festgestellt, dass wenn der Mitarbeiter genug lange mit MFA Prompts genervt wird, er irgendwann “müde” wird oder so genervt ist, dass er den Prompt einfach bestätigt um Ruhe zu haben (vielleicht denkt er ja, da will einer von der IT im was Gutes tun oder Einrichten, er musste schliesslich beim Einrichten von seinem Notebook auch mal MFA eingeben und da hat in der interne Supporter unterstützt)

Und wie genau verhindern wir, oder Microsoft das jetzt ?

Das ist relativ einfach, und zwar erzwingt Microsoft ab dem 27. Februar, dass ein Mitarbeiter den auf dem Bildschirm angezeigten zweistelligen Code im MFA-Prompt mit eingibt. Mehr Sicherheit, etwas weniger Komfort für den Endanwender.

Man mag sich jetzt darüber aufregen, Microft erzwingt dass, ich will das aber nicht etc.
Der Standpunkt von MS ist klar, ihre Reputation als sicherer Cloudservice steht auf dem Spiel, viele Angriffe kommen von dem Vektor her -also machen wir da was. Ausserdem, um das etwas in Perspektive zu rücken ist das ja nur auf unmanaged Devices notwendig, also bloss ein geringer Prozentsatz der Anmeldungen im täglichen Betrieb.

In dem Sinne:
be safe, and happy working in the cloud 🙂

Roman Jucker

Roman Jucker

Cloud Solution Architect
anrufen