none
Exchange Online und die 2FA - best practise? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    .

    wir buchen für verschiedene Kunden den Exchange Online Plan 1, richten die User/Mails ein und bringen Outlook an den Start. So ergibt sich das hier bei uns ziemlich oft. Die Anzahl an Accounts pro Kunde ist mitunter 2 oder 5 oder auch mal 50.

    .

    Nun neu ist, das die 2FA seitens MS voreingestellt ist. Wir haben sie im jüngsten Fall direkt wieder deaktiviert. Grundsätzlich würde ich mir 2FA aber schon irgendwie wünschen - jedoch ist das Ganze praktisch nicht umsetzbar. Meine Frage ist daher nach dem "richtigen" Weg dies zu tun.

    .

    Ein Beispiel:

    Kunde A ist ein Handwerker. Nur 2 PCs, nur 2 Outlooks, nur 2 Mail-Konten. Die Anwender haben von PCs usw. absolut keine Ahnung. Ich kann mir nicht vorstellen, wie hier 2FA einsetzbar sein soll. Wenn Outlook bei jedem Start eine Freigabe durch das Handy haben möchte steigt mir der Handwerker aufs Dach, was denn der nervende Quatsch soll. Lasse ich es nur alle 90 Tage anfragen, hat der Handwerker bis dahin vergessen wie das mit dem Code nochmal ging. Oder er hat schon vor 60 Tagen sein Handy gewechselt und nun muss Outlook aber möglichst sofort laufen.

    Dann habe ich noch was von App-Kennwörtern gelesen (aber noch nicht so richtig verstanden). Aber macht 2FA noch Sinn wenn das Outlook dann ein Dauerkennwort hat und doch wieder mit quasi 1FA drin ist?

    .

    Kunde B hat 50 Mails/Outlooks. Die Fluktuation an Personal ist recht groß. Soll ich hier beim Einrichten eines Outlooks immer das Handy jedes Mitarbeiters in die Hand nehmen? Mitarbeiter die oft auch gar nicht im Hause sind, wenn ich da bin. Hinzu kommt, dass bei 50 Leuten mindestens monatlich irgend einer das Handy wechselt (Verlust, Defekt, Laufzeit vorbei). Das bedeutet nur noch Arbeit... das kann doch nicht der Sinn sein? Dazu kommt die erwähnte Mitarbeiterfluktuation.

    Oder glaubt man, dass die Anwender technisch in der Lage sind sich eine 2FA am Handy selbst einzurichten? Also wer das glaubt.........

    .

    Dazu kommen Fragen wie:

    Was macht man bei Verlust eines Handys?

    Was, wenn am Arbeitsplatz Handys grundsätzlich untersagt sind?

    Was, wenn der Mitarbeiter sagt: "Nööö, mein Handy geb ich dir nicht"?

    .

    Also ich finde die Idee mit 2FA ja super - aber alle meiner Kunden würden mir "aufs Dach steigen".

    Ich sehe keinen Weg.

    .

    Vielen Dank für Aufklärung.

    Thomas


    Mittwoch, 25. November 2020 17:01
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Dem kann ich auch voll zustimmen.
    Das Problem ist die extreme Bindung an genau 1 Gerät.
    Bei den Banken gibts wenigsten einen kleinen Barcodescanner mit dem ich bis zu 5 Konten authentifizieren kann.
    Und ich verwende mein Handy ausschließlich mobil, deswegen heißt es ja auch Mobile.
    Zu Hause habe ich immer noch Festnetz. Ich weiß gar nicht wieviele das noch kennen;-).

    Aber Sicherheit wird immer größer geschrieben und ob es tatsächlich wirkt kann auch keiner sagen.

    Meine Kreditkarte habe ich gekündigt, da die ebenso an mein Handy wollten und es geht auch ohne.
    Mal sehen, wann bei der EC-Karte das Abbuchen von bis zu 50€ ganz ohne Prüfung abgestellt wird.
    Da kann ja jemand mit den Karten an 1 Tag ganz schön abräumen bis die Karte gesperrt wird.
    Man kann ja was für 1€ kaufen und sich den Rest bis 50€ auszahlen lassen.

    Gut, das ist es auch "off topic".

    Mittwoch, 25. November 2020 23:24
    |
  • Question
    Anmelden
    1
    Anmelden


    Das Problem ist die extreme Bindung an genau 1 Gerät.

    Wo hast Du *das* denn her? Die Authenticator-App kannst Du so oft installieren wie Du willst, sie ist an gar nichts gebunden. Musst halt jede Instanz extra mit den richtigen Accounts verknüpfen.

    Auch meine beiden Banken erlauben mehrere Geräte. Will nicht sagen beliebig viele, aber definitiv mehr als eins.

    Bindung an ein Handy hast Du nur bei SMS- oder Voice-MFA, und davon rät inzwischen auch Microsoft selbst ab, weil gerade SMS gern gehackt wird.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 26. November 2020 06:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    man muss kein MFA haben. Man muss sich dann halt auch der Konsequenzen bewusst sein und begreifen, dass "mein" Gerät in Bezug auf die Cloud-Dienste nicht anders ist als das von jemand anderem und somit der physische Besitz des Gerätes nicht mehr als zweiter Faktor zieht. Das kann Fluch und Segen sein, je nach Situation.

    Und genau dafür seid ihr Berater - nicht um den Kram einzurichten, sondern um vorher die Use Cases abzuklären und den Kunden eben zu beraten. Vielleicht sind manche noch nicht reif für Cloud - sie würden zwar von der Verfügbarkeit profitieren, müssen aber noch organisatorische Arbeit leisten, um die Risiken zu behandeln.

    Es gibt aber auch z.B. Conditional Access Policies. Da kannst Du bei Devices, die hinter einer bestimmten IP stehen (im Büro) auf MFA verzichten. Aber das ist ein Premium Feature. 

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 26. November 2020 06:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Für mich sind die Risiken der CLoud eindeutig.
    Die Angreifbarkeit ist deutlich höher als bei lokaler Installation.
    Aber das ist ja auch nur Meinung.

    PS: Viele Kunden kommen gerade deshalb zu uns weil wir eben keine Cloudlösung anbieten und ein Großteil der Erlöse via Lizenzen abfließen.

    Donnerstag, 26. November 2020 08:28
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    die Diskussion brauchen wir hier nicht führen, da 1tens dies das Forum für Exchange On-Premises ist und 2ten von MS keiner mehr mitliest

    Ich bitte das bei allen Antworten zu beachten.

    Es steht jedem frei, sein Online so einzurichten wie man möchte - ggf. nimmt man den enthaltenen MS-Support mit ins Boot oder macht ein Ticket auf

    Danke an alle

    Gruß Norbert

    Donnerstag, 26. November 2020 08:34
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ja also ich versteh das ja alles... Mehr Sicherheit durch 2FA ist ja wünschenswert. Und Cloud pro/contra...

    .

    Aber was mache ich denn beispielsweise mit einem Kunden, der 300 Accounts hat?

    Soll ich da bei 300 Menschen ihr privates Handy nehmen und eine App installieren? Das kann doch nicht der Weg sein.

    Und müssen diese 300 Menschen dann jeden Tag beim Start von Outlook einen Code eingeben bzw. mit der App irgendwas bestätigen? Das ist doch nicht machbar.

    .

    Nun mag es ein Premium-irgendwas geben, das sich eine 300-Mann Firma leisten kann. Aber ich habe ja 200 Kunden mit durchschnittlich 5 Exchange-Konten. Das sind 1.000 "Mann" und keiner davon ist groß und will Premium bezahlen.

    .

    Ich bin aber der, der 1.000 Handys oder Apps oder sonstwas verwalten soll?!? Man denke an: Handy defekt, verloren, neues Handy, Mitarbeiterwechsel, ...

    Und da sehe ich keinen machbaren Weg. Wobei ich das ganze System und dessen Möglichkeiten nicht kenne.... daher ja meine Frage hier.

    .

    Also wie soll es denn ein "normales" IT-Systemhaus mit vielen Kleinkunden schaffen? Dieses ganze 2FA....

    Grüße

    Donnerstag, 26. November 2020 09:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Wenn du den Service übernehmen willst/must ist das schwierig. Allerdings ist bei 2FA eben jeder User selber verantwortlich.

    Außerdem ist 2FA ja mittlerweile auch nicht sicher, wenn sich jeder mit den richtigen Anmeldedaten sowieso von überall einhacken kann.
    Und wie in der Vergangenheit schon öfter geschrieben: Die Länge eines Kennwortes ist entscheidender als die Komplexität. Und das würde dann 1FA ausreichen.

    Ich stand selber vor dem selben Problem bzgl. meiner VPN-Verbindung.
    Da wird auch 2FA empfohlen wobei ich mit automatischer Anmeldung beim Login am PC gerade keine Anmeldung als die Eine beim Start des PC's habe.

    Wenn ich mir dann folgendes Szenaria vorstelle:
    2FA-Anmeldung am Gerät => 2FA Anmeldung am VPN => 2FA Anmeldung am Outlook/Office.

    Angeblich ist ein SSO (Single Sign On) auch nicht mehr empfehlenswert.


    • Bearbeitet Der Suchende Donnerstag, 26. November 2020 09:45
    Donnerstag, 26. November 2020 09:44
    |
  • Question
    Anmelden
    0
    Anmelden


    Und wie in der Vergangenheit schon öfter geschrieben: Die Länge eines Kennwortes ist entscheidender als die Komplexität. Und das würde dann 1FA ausreichen.

    Und das ist genau der Fehler. Wenn das Kennwort (oder das Device, auf dem es zwischengespeichert wurde) *entwendet* wird, ist es gleich, wie lang und/oder komplex es ist. Und es muss noch nicht mal DAS Kennwort sein, denn 99% der Menschen verwenden dasselbe Kennwort für mehr als einen Dienst.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 26. November 2020 14:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Gegen mittelschwere und schwere bis schwerste Kriminalität ist eh kein Kraut gewachsen.

    Und wie du ja oben schon sagst, dass bei 2FA auch mehrere Geräte zulässig sind, dann kann alleine schon bei Kennwortdiebstahl die 2FA auf ein anderes Gerät geelgt werden. Denn bei Geäteverlust muss ich selber ja dasselbe tun. Wo ist da die Sicherheit?

    Donnerstag, 26. November 2020 14:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Wo ist da die Sicherheit?

    Das kannst Du ggf. nicht selbst.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 26. November 2020 14:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Und das bedeutet?
    Wenn ich das Gerät nicht mehr habe (aus welchem Grund auch immer), kann ich u.U. mehrere Tage meinen Account nicht mehr nutzen bis ich u.U. per Post-Ident (o.ä.) meine Identität nachgewiesen habe um ein anderes Gerät zu registrieren?
    Oder sollte ich besser gleich ein 2. Gerät mit registrieren, dass ich zu Hause in den Safe lege?
    ;-)

    Donnerstag, 26. November 2020 15:37
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ich kann Evgenij nur zustimmen. Die Authenticator-App funktioniert gut mit mehreren Geräten. Wer dies nicht möchte, kann auch auf einen FIDO2-Dongle wechseln. Diese gibt es mit ganz unterschiedlichen Verbindungsmögloichkeiten, wie z.B. NFC, Lighting, USB-C oder USB-A. Jedoch sind diese Lösungen mit weiteren Konfigurationen und auch Kosten verbunden.

    Beste Grüße,
    Thomas 

    Thomas Stensitzki | MVP - MCSM - MCM - MCT- MCSE - MCSA - MODE | Blog: http://justcantgetenough.granikos.eu/ | Twitter: @stensitzki

    Dienstag, 1. Dezember 2020 11:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Und was die Sicherheit beim Entwenden des Gerätes angeht, so ist das doch auch nicht gewährleistet.
    Es sei denn, zum Empfangen des Codes über das Gerät muss ichmich am Gerät auch erst mal wieder mit User/Kennwort berechtigen. Was natürlich aus Sicherheitsgründen nicht dasselbe Kennwort sein darf (sollte) denn sonst kann mir meine Identität auch nicht helfen.

    Ich musste mich mal bei einem Online-Kauf online Authentifizieren.
    Dazu öffnete sich ein Video-Chat, ich musst meinen Perso vorzeigen. Der Prüfer hat mein Bild mit mir verglichen und mich für Echt empfunden. Somit konnte er die Authentizität meiner Person bestätigen und ich konnte den Kauf tätigen.

    Das wäre doch mal was für die 2FA. Mein Gesicht und meinen Perso habe ich immer dabei.
    Gut, wer Mission Impossible gesehen hat weiß auch, das sich Gesichter passend zum Perso fälschen lassen.

    Fazit: Bei ensprechendem Vorsatz ist eine 2FA auch nicht sicherer als 1FA.
    Wir haben uns dagegen entschlossen;-).

    Dienstag, 1. Dezember 2020 14:03
    |