[English]Kleiner Nachtrag, der seit Anfang Mai 2024 liegen geblieben ist. Microsoft Entra ID unterstützt jetzt MFA-Anbieter von Drittanbietern wie RSA, Duo, Ping und andere. Microsoft hat dies bereits Anfang Mai 2024 in einem Techcommunity-Beitrag angekündigt. Das ganze ist noch Preview und seit Mitte Mai 2024 verfügbar. Zudem gibt es einen Beitrag, wie MFA-Logs helfen, Angriffe zu erkennen.
Support für MFA durch Drittanbieter
Mir ist diese Information über verschiedene Tweets untergekommen. Nachfolgender Tweet von Alex Simons verweist auf den Techcommunity-Beitrag Public preview: External authentication methods in Microsoft Entra ID von Microsoft.
Microsoft hat externe Authentifizierungsmethoden in Microsoft Entra ID implementiert, die zwischenzeitlich verfügbar sein sollten. Diese Funktion soll Administratoren ermöglichen, die bevorzugte Multifaktor-Authentifizierungslösung (MFA) in Entra ID zu verwenden. Der Einsatz von MFA ist der wichtigste Schritt zur Sicherung von Benutzeridentitäten, schreibt Microsoft.
Eine Studie von Microsoft Research über die Wirksamkeit von MFA hat gezeigt, dass die Verwendung von MFA das Risiko einer Kompromittierung um mehr als 99,2 % reduziert! Einige Unternehmen haben bereits MFA implementiert und möchten diese MFA-Lösung mit Entra ID wiederverwenden.
Externe Authentifizierungsmethoden ermöglichen es Organisationen, jede MFA-Lösung wiederzuverwenden, um die MFA-Anforderungen mit Entra ID zu erfüllen. Das Ganze ist noch Preview, die Details lassen sich im betreffenden Blog-Beitrag nachlesen.
MFA-Logs auswerten
Bedrohungsakteure suchen ständig nach Möglichkeiten, Cloud-Konten zu kompromittieren, um auf sensible Daten zuzugreifen. Eine der gängigen und äußerst effektiven Methoden, die Angreifer verwenden, ist die Änderung der MFA-Eigenschaften (Multi-Faktor-Authentifizierung) für Benutzer in kompromittierten Tenants. Dadurch kann der Angreifer die MFA-Anforderungen erfüllen, die MFA für andere Benutzer deaktivieren oder neue Geräte für die MFA registrieren.
Einige dieser Änderungen können schwer zu erkennen und zu überwachen sein, da sie in der Regel im Rahmen von Standard-Helpdesk-Prozessen durchgeführt werden und im Rauschen der anderen Verzeichnisaktivitäten im Microsoft Entra Audit-Log untergehen können.
Zum 29. Mai 2024 gab es dann noch den Nachtrag Hunting for MFA manipulations in Entra ID tenants using KQL in der Microsoft Techcommunity mit weiteren Informationen, wie MFA-Logs auszuwerten sind. Vielleicht für den einen oder anderen Administrator von Interesse.
>>> dass die Verwendung von MFA das Risiko einer Kompromittierung um mehr als 99,2 % reduziert! <<<
a) Wenn von je 100 Fahrern immer nur einer über die rote Ampel führe, wäre mir die Teilnahme am Strassenverkehr trotzdem zu unsicher.
b) Aus (1): "MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte!"
(1) blog.fefe.de/?ts=9b4d72e1
Wie fefe sagt.. das ist eine Medien Kompetenz Übung. MFA schützt vor Benutzen und deren Passwort Wahl.
Wo genau – wenn überhaupt – sagt er das?
FeFe ist überbewertet. Ich habe ihn ein paar
mal getroffen und na ja, wenn man nichts Gutes sagen kann..
Und was genau hat das jetzt mit MFA resp. dessen Nebelkerzencharakter zu tun?
Dieser ist evident, selbst Microsoft – genauer: deren Microsoft 365 Defender Research Team – gibt es letztlich zu. Aus (1): „While MFA is another layer of protection against credential theft being adopted, criminals also are developing ways to bypass it, including AiTM attacks.“
(1) theregister.com/2022/07/13/aitm-phishing-microsoft/
Woraus leitest du ab das MFA keinen Sinn hat? Nur weil jemand sich Strategien überlegt MFA zu überwinden?
Der Grund für MFA ist die Dummheit der Anwender, die trotzdem dass man es seit Jahren sagt.. überall die gleichen/ähnlichen Kennwörter verwenden. Anwender die Kennwörter im Browser speichern.. ohne zu realisieren dass jedes Programm welches mit ihren Benutzer gestartet wird alles lesen kann was auch der Benutzer lesen kann unter Windows/MacOs/Linux.
Eigentlich ist es ein Wunder dass nicht viel mehr passiert.
Ihr könnt es nicht schlechtreden. MFA bietet einen perfekten Schutz vor dem ersten Initialen Zugriff aka Login.
ist die Sitzung erst einmal authentifiziert und der Angreifer schon im System oder MITM reden wir über ganz andere Probleme.
solange Anwender: Frühling, Sommer, Herbst und Winter, Sonne, Mond und Sterne, alle Monatsnamen inkl Jahreszahl als einzigen Schutz verwenden aka Passwort hat du nicht 1 Konto auf 100 verloren, sondern nahezu alle.
mit MFA wird sogar das Problem Password Recycling abgefangen, wenn alle (!!!!!) es nur endlich anbieten würden.
aber … leider ist MFA nicht 100% verfügbar und auch bei jeder in der Zukunft kommenden Methode wird es MITM oder andere Attacken geben.
Danke, bin voll bei Dir
Wie macht ihr das in euern Unternehmen? Wenn das private Handy verboten ist, geschäftliches Handy nicht jeder hat – kauft ihr dann 2.000 MFA-Tokens? Und falls ja, welche taugen denn? Bestimmte Anbieter unterstützen nur OneTimeTokens und Apps wie Authenticator… Sind hier schon längers auf der Suche nach einer „einfachen“ Lösung.
Großes Thema ist hier immer, dass die Handys aufgrund Spionage verboten sind und dann wird es echt schwierig.
Privathandys verbieten und gleichzeitig appbasierte MFA verpflichtend machen, während aber nicht jeder Mitarbeiter ein Firmenhandy bekommt (ist bestimmt ein Statussymbol bei euch?), scheint wenig durchdacht zu sein.
Selbst wenn Privathandys erlaubt wären, fände ich das sehr schwierig. Denn ich kann ja nicht jeden einfach so zwingen, eine App zu installieren, die zum Einloggen in die Firma benötigt wird. Davon abgesehen, dass ja nicht mal jeder Mensch ein Smartphone hat, wo es eine solche App für gibt.
Die Lösung bei einem meiner letzten AG war, dass einfach jeder ein Firmensmartphone bekommen hat. Hat sicher nicht jedem auf C-Level geschmeckt, aber ging halt nicht anders.
Stimme Dir hier bei allen Punkten zu (Statussymbol, keine App auf Privathandy, kein Smartphone).
Problem ist jedoch, das bspw. Microsoft zwangsläufig auf MFA umstellt. D.h. hier hast du keine Wahl ob du das willst oder nicht.. Du brauchst das eben – auch für den Produktionsmitarbeiter der 1x die Woche seine Mails abruft und kein Smartphone hat. Deshalb eben die Frage wie das andere Unternehmen machen.
Guten Tag, ich betreue nur ein kleines Unternehmen, daher ist der Ansatz nicht in Gänze übertragbar, aber ich versuche dennoch mal mein Glück, hoffentlich hilft es weiter. Bei den Mitarbeitern mit Firmen-Smartphone wird die Microsoft Authenticator App genutzt, bei den Mitarbeitern ohne verwende ich die App „2fast – Two Factor Authenticator“ aus dem Microsoft Store auf dem jeweiligen PC. Die App ist OpenSource und es steckt ein deutsches Entwicklerteam dahinter, außerdem gefällt mir das Konzept von denen ziemlich gut. Die App erzeugt, ähnlich wie KeePass, eine verschlüsselte Datenbank, die auf dem persönlichen Netzlaufwerk abgespeichert wird, wo nur der Mitarbeiter Zugriff hat. Falls man generell schon KeePass im Einsatz hat, kann man auch über die Verwendung eines entsprechenden TOTP Plugins nachdenken, getestet habe ich das allerdings noch nicht.
P.S. Mir ist bewusst, dass diese Variante die ursprüngliche Konzeption und das Prinzip der 2FA unterwandert, mir ist aber keine andere, wirklich gangbare Lösung bekannt (abseits von Hardware-Tokens). Außerdem ist diese Methode immer noch sicherer als gar kein MFA, weil so immer noch der Faktor „PC des Mitarbeiters“ gegeben sein muss und somit der Remote-Login nicht möglich ist. Und spätestens, wenn auf einer Phishing-Webseite der legitime MFA Request in einem Frame eingebettet wird und der Mitarbeiter diesen bestätigt, ist man mit beiden Varianten aufgeschmissen.
Ich finde FIDO2 mit Yubikeys sehr gut. Sobald wir die AVD auf neuer Win11-Hardware ausrollen, planen wir diese zur Authentifizierung auszugeben, dann statt Windows Hello PIN oder eines klassischen Passworts.