[English]Microsoft hat vor einigen Tagen eine Ankündigung gemacht, dass man „Outlook für private Nutzer“ in Zukunft besser absichern will. Läuft durch die Nennung von Outlook ein wenig in die falsche Richtung. Es geht um die verbesserte Absicherung von Online-E-Mail-Konten wie Outlook.com, Hotmail.com, Live.com für private Nutzer. Die Authentifizierung mittels Benutzername und Kennwort soll durch eine Zweifaktor-Authentifizierung ersetzt werden.
Basic Authentification wird abgeschafft
Im Unternehmensbereich hat Microsoft ja bereits seit längerem die sogenannte Basic Authentification abgeschafft (siehe meinen Beitrag Erinnerung: Basic Authentication in Exchange Online wird 2023 abgeschaltet). Dort wurden die E-Mail-Postfächer auf die sogenannte Modern Authentification umgestellt. Die Umstellung war bereits im Oktober 2022 angekündigt worden, scheint aber erst 2024 wirklich viele Kunden getroffen zu haben.
Nun nimmt sich Microsoft auch die Privatkunden vor, die ein Online-E-Mail-Postfach bei Outlook.com, Hotmail.com und Live.com nutzen. In einem Techcommunity-Beitrag Keeping our Outlook Personal Email Users Safe: Reinforcing Our Commitment to Security hat Microsoft Mitarbeiter David Los bereits zum 11. Juni 2024 die geplanten Änderungen skizziert.
Die Botschaft lautet, dass Microsoft sichergehen möchte, das private Online-Konten (als Outlook bezeichnet) für E-Mails, Dokumente, Kalender und Kontakte vor unbefugtem Zugriff, Manipulation oder Verlust geschützt sind. Daher wird die Basic Authenfication auch für private Konten (wie Outlook.com, Hotmail.com und Live.com) abgeschaltet. Dabei gilt folgender Zeitplan:
- 19. August 2024: Die Light-Version der Outlook-Webanwendung wird eingestellt und lässt sich nicht mehr verwenden.
- 16. September 2024: Die Abschaltung der Basic Authentification (Basisauthentifizierung) beginnt.
- Ende 2024: Es gibt eine Erinnerung an das Ende des Supports für die Mail- und Kalender-Apps.
Ab dem 16. September ist für alle Outlook-Benutzer von persönlichen Microsoft-E-Mail-Konten (z. B. Outlook.com, Hotmail.com, Live.com) die Umstellung des E-Mail-Programms auf moderne Authentifizierungsmethoden Anwendung erforderlich. Die bisher verwendete Basic Authentification-Methode mittels Benutzernamen und Kennwort zur Anmeldung am Benutzerkonto wird nicht mehr unterstützt.
Das bedeutet, dass alle E-Mail-Clients, die kein Modern Authentification unterstützen, ab dem Stichtag nicht mehr auf die Postfächer von z. B. Outlook.com, Hotmail.com, Live.com zugreifen können. Sofern erforderlich müssen Clients wie Outlook, Thunderbird, Apple-Mail oder die diversen Mobilgeräte-Mai-Apps auf die neues Version aktualisiert werden.
Microsoft begründet dies damit dass der langjährige Basic Auth-Standard, es Angreifern leicht mache, die Anmeldedaten einer Person abzufangen. Dies erhöhte das Risiko, dass gestohlene Anmeldeinformationen erneut verwendet werden, um Zugriff auf die E-Mails oder persönlichen Daten einer Person zu erhalten. E-Mail-basierte Cyberangriffe haben im Laufe der Zeit stark zugenommen, weshalb Microsoft aus Sicherheitsgründen für alle Kunden von Outlook-Online-Konten eine moderne Authentifizierung verlangt.
Im Techcommunity-Beitrag finden sich noch einige Hinweise, welche Mindestanforderungen in Punkto Betriebssysteme zur Anmeldung an Outlook-Online-Konten künftig gelten. Alles älter als Windows 10 ist in der Microsoft-Welt dann außen vor. Weiterhin werden bestimmte Browser-Versionen vorausgesetzt, die mindestens für einen Zugriff auf das Online-Konto benutzt werden müssen. In diesem Kontext wird auch die Light-Version der Outlook-Webanwendung ab Mitte August eingestellt – und die Mail- und Kalender-Apps aus Windows folgen Ende 2024.
Ähnliche Artikel:
Basic Authentication in Exchange Online wird ab Oktober 2022 eingestellt
Erinnerung: Basic Authentication in Exchange Online wird 2023 abgeschaltet
Der Beitrag ist hilfreich für Awareness und User des Dienstes. Aber – öhmm – ohne nörgelig wirken zu wollen… der Aspekt, daß MS-Infrastruktur an sich fragwürdig ist fehlt mir etwas.
Haustür abgesichert durch MFA – Terassentür offen für Nachbarn, Ratten und Zugluft. Wenn etwas wie Hotmail etc. (ohne an absoluten oder mathematischen Nachweis zu denken) durch kürzliche Cloud-Breaks(TM) eh nicht zielführend ist?
Wer gründed mit mir Proton.de? Wer ermöglicht das Daten-Ausleitungs-Untersuchungs-Gremium für o.g. Dienste? Hey, Digital Courage im nicht existierenden Bielefeld – liest jemand mit (p.s. ich mag Euch)?
Guter Ansatz.
Wer will, findet aber auch hier wieder etwas zu meckern.
Segelt aber im zweiten Satz arg im Bereich Troll-Kommentar. Man kann es gut finden – aber sollte letztendlich auch akzeptieren, dass nicht jeder Hurra schreit. Am Ende kommt es bei 2FA immer auf die Implementierung an. Und wenn alles auf MFA hängt, werden Angriffe über MFA-Fatigue-Angriffe zunehmen. Wechseln wir dann auf Passkey?
Das ist genau das Problem, wenn die 2FA-Anfragen auf die Mobilgeräte pushen und man die Leute quasi mit Anfragen „weichklopfen“ kann. Klickt dann mal jemand versehendlich daneben, dann hat der Angreifer schon gewonnen.
Viel lieber sind mir simple TOTP Apps, welche auch offline auf dem Device funktionieren und einfach nur einen zweiten Faktor als Zahl oder Zahlen- und Buchstabenkombination auswerfen.
Erstmal bin ich hier nicht von einem Online-Service abhängig und solche Ermüdungsangriffe funktionieren auch nicht.
Leider muss man schon echt Verrenkungen machen, um bei Google oder Microsoft einen anderen Authentificator zu verwenden. Es wird alles versucht einem deren App unterzuschieben. Ziemlich lästig.
Zumindest bei MS O365 kann man im Konto wählen ob Push oder TOTP genutzt werden soll. Die meisten sind aber zu bequem die 6 Stellen abzutippen und nutzen daher lieber Push. Allerdings muss man bei MS seit ca. diesem Jahr einen 2 stellige Zahl angeben um den Push zu bestätigen.
und was ist daran jetzt gut, MS Zäpfchen?
Glückwunsch zur Ihrer gelungenen Darstellung !
Standardisierung und deren Einfluss auf die Sicherheitsarchitektur könnte ein interessantes neues Interessenfeld sein – dann entfallen zukünftig vlt. auch die Verbalinjurien ;)
„Glückwunsch zur Ihrer gelungenen Darstellung !“
Ironie off – hatte ich vergessen ;))))
Vielleicht sollte der bekannte MS Fanboy einfach begründen, was er an einem simplen 2FA Ansatz, der woanders schon seit Jahren Standard ist, so gut findet, dann hätte sein Post wenigstens minimale Substanz.
Aber ich weiß, das ist schwierig für Euch. sieht man ja auch an deinem gelungenen Post :-D
Microsoft erzwingt seit einiger Zeit die Nennung einer Mobilfunknummer bei Anlage eines neuen Kontos. Wie Google im übrigen auch.
Dann ist es also bald soweit, dass für die alten Konten ebenfalls eine Nummer angegeben werden muss.
Für Kriminelle kein Problem, für Otto Normalverbraucher eine weitere Gängelung.
Absolut richtig. Die Telefonnummern werden dem Advertising Profil natürlich hinzugefügt. Deswegen sind Phishing SMS bei Kriminellen auch so in Mode
Dann ist für viele ihr Account wohl Geschichte, wenn man nicht eine Telefonnummer preisgeben will?
Sieht man auch andernorts in (noch) abgemilderter Form, twitch Accounts erfordern Ergänzung Telefonnummer wenn man dort die PN Funktion verwenden will.
Menschen werden gläserner. Manche jubeln.
die Änderung bei Twitch kam dadurch, weil viele Bot-Accounts ohne TN einfach andere Nutzer per PN ihren Spam verbreiten („Free Onlyfans link“ etc.)
Naja sorry, aber mir wurde noch nie ein PW bei mir selbst entwendet… es ist doch MS und andere Drecksfirmen die sich die Daten klauen haben lassen… da nutzt auch ein MFA nix wenn die Drecksfirmen sich hacken lassen und die Datenbanken stehlen lassen.
Besonders geil dann die Firmen die diese Daten auch noch im Klartext bagespeichert hatten
*hust Adobe; *Hust Sony; *hustLastFM
Wir brauchen keine bessere Absicherung beim Privaten, wir brauchen endlich volle Produkthaftung bei Softwarefirmen…. wenn es an den Profit geht werden die sehr schnell sehr sicher!
MS lässt sich die Datenbank stehlen? Pauschal 1000€ Schadensersatz für jeden der in der Datenbank steht … So schnell kannst du gar nicht schauen wie MS seinen Arsch hochkriegt.
Es wäre auch mal eine Überlegung, dass man die Nutzer mal auf das Thema hinweist. Absolutes Versagen auf ganzer Linie…
Ich weißt nicht, ob ÜBERHAUPT einmal vom MS oder irgendeinem Anbieter ernsthaft auf die Thematik mit sicheren Passwörtern hingewiesen wurde.
Allein wie viel Spam von „gehackten“ Konten kommt. Mich würde auch mal die Begründung von MS für diesen Schritt interessieren. Ich würde jetzt genau naiverweise behaupten, dass viele Konten aufgrund „schlechter“ Passwörter bzw. einem schlechten Umgang damit „gehackt“ wurden. Wenn man jetzt genau diesen Leuten noch 2FA gibt…
Das mit den schlechten Passwörtern habe ich nie wirklich verstanden. Zum einen könnten die Anbieter Richtlinien erlassen, dass ein Passwort entsprechend lang und komplex sein muss. Als Minimum 16 Stellen, kleine Buchstaben, große Buchstaben, Zahlen und Sonderzeichen.
Des Weiteren bietet haveibeenpwned die Hashwerte geleakter Passwörter als Download an. Diese Passwörter könnten im Rahmen einer Blacklist implementiert und lokal beim Anbieter gegengeprüft werden. Als neues Passwort ist die Verwendung eines Treffers aus der Blacklist ausgeschlossen, erzwungener Passwortwechsel gleich nach der Anmeldung, falls ein Passwort nachträglich in einem Leak aufgetaucht ist.
Man könnte schon Einiges tun, man muss es nur wollen.
und was nützt dir ein 256 Zeichen langen komplexes PW nach allen Regeln der Kunst, wenn sich der Anbieter hacken und die Datenbank stehlen lässt? (die Anmeldedaten wie in der Vergangenheit bereits geschehen auch noch im Klartext gespeichert hat.) Die ganzen Datendiebstähle in den letzten Jahren waren doch nicht beim kleinen User, sondern beim Dienstanbieter!
/Edit/ MS selbst hat sich ja den Masterkey klauen lassen und monatelang „schwarze Kundschaft“ unbemerkt im System gehabt. Hat ja bis heute seine System nicht wirklich im Griff.
Ich sag es mal so: meine Rechner sind wahrscheinlich besser gesichert als die von Microsoft!
In über 50 Jahren kein Vorfall auf den eigenen Rechnern!
Trotzdem steh ich bei haveibepawned in der Datenbank. Weil Drecksfirmen sich hacken haben lassen und das waren keine kleinen Butzen: *hust*Adobe; *hust*Sony; *hust*lastFM; *hust*VISA
alles geklaut von deren Systemen und teilweise die Daten im Klartext abgespeichert!
Mir ging es vorallem darum, dass es bei vielen Diensten immernoch möglich ist einfachste Passwörter wie „Password123“ zu verwenden, ohne das diese als zu schwach abgelehnt werden.
Natürlich bringt das beste Passwort nix, wenn der Dienst an sich marode ist. Das Microsoft in Sachen Sicherheit die letzten Jahre viele Katastrophen erzeugt hat, auch richtig.
Aber, nicht alle Konten werden durch Hacken des Dienstes geknackt. Manchmal sind die Passwörter einfach schlecht. War z.B. beim Fappening Ereignis so, als die iClouds der Promis ausgeräumt wurden. Das war simples Bruteforce.
Und dann kommen die Nutzer, welche ihr Passwörter recyceln und bei jedem Dienst ihr Standardpasswort verwenden. Würden Dienste haveibeenpwnd abfragen, dann könnten zumindest andere Konten ggf. rechtzeitig durch einen Passwortwechsel abgesichert werden.
Am Ende ist Sicherheit immer das Zusammenspiel mehrerer Maßnahmen, wie die Schichten einer Zwiebel. Keine Einzelmaßnahme bietet den heiligen Gral der Sicherheit. Schwache Passwörter könnte man meiner Meinung nach aber aus der Gleichung nehmen, wenn man denn will.
Ich hab über diesen Post erstmal schlafen müssen.
Nicht nur IHR habt MS monatelang geprügelt wegen Hacks, Leaks, etc. Wenn die jetzt die Schrauben anziehen, wird trotzdem wieder getrollt.
Selbst Günni grätscht mit MFA-Fatigue-Angriffen dazwischen ??? Wer sollte sich die Mühe bei einem privaten Konto geben?
Wenn man keine bessere Idee hat, sollte man die bis jetzt beste akzeptieren!
Viele hier interresiert nur ihre 1-3 PCs zuhause. Im Unternehmen interresieren nur Lösungen, kein Rumgemecker.
Jeder meckert, aber warum nutzt ihr es dann?
naja weil es hier eben um Private Konten geht… sorry wer schwache PW in Firmen verwendet und Admins die das zulassen, gehören geteert und gefedert und im Anschluß die Firma liquidiert!
Sicherheit kriegst du nur in die Köpfe wenn man den Leuten es beibringt… Zwang ist kontraproduktiv!
Leider ist das oft so: was Hänschen nicht lernt lerrnt Hans nimmermehr.
Ist ja rührend aber wenn man schon OAuth aufzwingt dann sollte man auch dafür sorgen dass es auch funktioniert – für mein Gratis Outlook.com Account ist es nicht möglich mittel Gmail das EAS Protokoll zu verwenden da immer ein Serverfehler kommt. IMAP für Mails kann man mit moderner Authentifizierung einrichten. Somit ist die Synchronisierung mit Android für Kalender und Kontakte weggefallen da auch die Outlook App nicht in die Android Speicher für Kalender und Kontakte synchronisiert.