none
ActiveSync (iOS-/Android-Zugriffe auf Postfaecher) und Passwortspeicherung in MS-Cloud? RRS feed

  • Frage

  • Hallo!

    Heute wurde mir erneut mitgeteilt, dass die Nutzung von Outlook auf ActiveSync-Geräten mit iOS oder Android nicht vertretbar sei, weil weiterhin das Kennwort in einer MS-Cloud gespeichert würde, wenn - wie bei uns - ein eigener ("on premise") Exchange-Server verwendet wird.

    Trifft dies immer noch zu?

    Vielen Dank und viele Grüße

    Bernd Leutenecker

    Donnerstag, 17. September 2020 18:04

Alle Antworten

  • Die Beschreibung ist doch eindeutig:
    https://docs.microsoft.com/de-de/exchange/clients/outlook-for-ios-and-android/passwords-and-security?view=exchserver-2019

    "Nach der Entschlüsselung wird das Kennwort nie im Dienst gespeichert oder auf einen lokalen Datenträger geschrieben, und der Geräteschlüssel wird erneut aus dem Speicher gelöscht"

    Freitag, 18. September 2020 07:05
  • Hallo!

    Ich gab dies weiter - verbunden mit der Frage, ob aufgrund eines Hinweises in dem Artikel zu EAS-Clients generell alle Postfachzugriffe auf einen On-Premise-Exchange-Server von iOS und Android aus (ActiveSync) bedenklich sind - und erhielt diesen Hinweis: 

    >>(...) Beschreibung Outlook-App (https://docs.microsoft.com/de-de/exchange/clients/outlook-for-ios-and-android/passwords-and-security?view=exchserver-2019) (...):

     "...Wenn sich ein Benutzer bei Exchange mit der Standardauthentifizierung anmeldet, werden der Benutzername, das Kennwort und ein eindeutiger AES-128-Geräteschlüssel vom Gerät des Benutzers an den Outlook-clouddienst über eine TLS-Verbindung gesendet, wobei der Geräteschlüssel in der Lauf Zeitberechnung gespeichert wird. Nach der Überprüfung des Kennworts mit dem Exchange-Server verwendet die Microsoft 365-oder Office 365-basierte Architektur den Geräteschlüssel zum Verschlüsseln des Kennworts, und das verschlüsselte Kennwort wird dann im Dienst gespeichert..."

    Sonstige EAS-Clients, wie z.B. die Nativen oder 9Folders speichern das Passwort lokal auf dem Smartphone.<<

    Ich verstehe das auch so, dass MS den Schlüssel hat, mit welchem das "im Dienst gespeicherte" Exchange-Kennwort verschlüsselt wurde - und somit Zugriff auf die kompletten Anmeldedaten.

    Mich irritiert allerdings sowieso die Betonung von Microsoft 365 bzw. Office 365. Wir nutzen, wie die meisten mir bekannten Firmen mit Exchange, einen eigenen "On-Premise-" Exchange-Server und auf PCs und Macs die normalen lokal installierten Office-Programme. Allerdings könnte sich diese Aussage auf die iOS- und Android-Outlook-Apps beziehen.

    Grüße

    Bernd



    Freitag, 18. September 2020 08:39
  • Aber:

    Es wird nur das verschlüsselte Kennwort gespeichert, dass ohne Geräteschlüssel jedoch nicht entschlüsselt werden kann. Der Geräteschlüssel wird nur temporär benötigt aber nicht gespeichert.

    Du hast aber in so weit recht, dass der "Man in the middle" durchaus in der Lage ist, den Geräteschlüssel als auch die anderen Informationen mitzulesen.
    Das Problem liegt also nicht so sehr im Dienst als auf dem Weg zu diesem.

    Aber wenn man ein wenig sucht, gibt es Anbieter die dies auch ohne iCLoud anbieten.

    Freitag, 18. September 2020 09:37