{"id":530,"date":"2024-10-08T20:35:20","date_gmt":"2024-10-08T20:35:20","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=530"},"modified":"2024-10-08T20:35:20","modified_gmt":"2024-10-08T20:35:20","slug":"einzigartig-und-zerstorerisch","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=530","title":{"rendered":"\u201cEinzigartig und zerst\u00f6rerisch\u201d"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
H\u00e4ufig ist der Microsoft Authenticator die schnellste Wahl. Aber ist es auch die richtige?\n

Ascannio \u2013 shutterstock.com<\/p>\n<\/div>\n

Microsofts Authenticator-App hat ein Alleinstellungsmerkmal: Das Tool l\u00f6scht alte Konten, wenn neue Konten per QR-Code hinzugef\u00fcgt werden. Und das hat sich trotz jahrelanger Beschwerden von Nutzern immer noch nicht ge\u00e4ndert.<\/p>\n

Warum eigentlich Microsoft?<\/h3>\n

Deshalb fragen sich IT-Experten regelm\u00e4\u00dfig, warum man Microsofts Authenticator App \u00fcberhaupt nutzen sollte.<\/p>\n

Kurze Antwort: Es gibt keinen guten Grund. Wenn man \u00fcber ein Dutzend Apps zum Thema Authentifizierung testen w\u00fcrde, darunter Optionen wie den Google Authenticator, Okta Verify oder Salesforce Authenticator, w\u00e4re das Ergebnis eindeutig: Microsoft Authenticator macht es mit seiner Kontol\u00f6schen-Funktion einfach nur schlecht.<\/p>\n

Regelm\u00e4\u00dfiger Gebrauch<\/h3>\n

Doch warum ist das eigentlich so schlimm? Grunds\u00e4tzlich m\u00fcssen Nutzerinnen und Nutzer mit zunehmendem Gebrauch der\u00a0Multi-Faktor-Authentifizierung<\/a>\u00a0h\u00e4ufig mit Codes und Authentifizierungs-Apps hantieren.<\/p>\n

F\u00fcr diejenigen, die sich dabei auf Microsoft Authenticator verlassen, kann die damit verbundene Erfahrung schnell von einer vor\u00fcbergehenden Frustration zu regelrechter Panik f\u00fchren. Dies liegt daran, dass die App User von ihren Konten aussperrt.<\/p>\n

Die Technik dahinter<\/h3>\n

Der technische Hintergrund ist, dass Microsoft Authenticator aufgrund eines Problems mit den verwendeten Feldern h\u00e4ufig Konten \u00fcberschreibt. Das geschieht genau dann, wenn ein Benutzer ein neues Konto per\u00a0QR-Scan<\/a>\u00a0hinzuf\u00fcgt \u2013 eine Methode, die zunehmend beliebter wird.<\/p>\n

So wie diese Sperre aber zustande kommt, ist es f\u00fcr die Betroffenen jedoch schwer zu erkennen, dass das Problem beim Programm selber liegt. Stattdessen wird das Anwenderunternehmen, das die Authentifizierung durchf\u00fchrt, als Schuldiger ausgemacht. Das f\u00fchrt oft zu vielen vergeudeten Stunden im Helpdesk und viel \u00c4rger.<\/p>\n

Der Kern des Problems ist aber ein ganz anderer. Denn Microsoft Authenticator \u00fcberschreibt ein Konto mit demselben Benutzernamen. H\u00e4ufig werden E-Mail-Adressen als Nutzernamen verwendet. Somit benutzen die meisten User \u00fcber verschiedene Anwendungen hinweg denselben Nutzernamen. Google Authenticator und fast alle anderen Authenticator-Apps f\u00fcgen dann den Namen des Ausstellers hinzu \u2013 zum Beispiel einer Bank oder einer Autofirma \u2013 um dieses Problem zu vermeiden. Microsoft macht das jedoch nicht, sondern verwendet nur den Benutzernamen.<\/p>\n

Doch damit nicht genug, denn beim \u00dcberschreiben durch Microsoft ist es nicht einfach festzustellen, welches Konto \u00fcberschrieben wird. Dies kann zu Authentifizierungsproblemen sowohl mit dem neu erstellten Konto als auch mit dem \u00fcberschriebenen Konto f\u00fchren. H\u00e4ufig merken die Benutzer erst dann, dass ein zuvor erstelltes Konto gel\u00f6scht wurde, wenn sie versuchen, es erneut zu verwenden.<\/p>\n

Wie man das Problem l\u00f6sen kann<\/h3>\n

Das Problem kann allerdings grunds\u00e4tzlich umgangen werden:<\/p>\n

Am einfachsten ist es f\u00fcr Unternehmen, eine andere Authentifizierungs-App zu verwenden.<\/p>\n

Die Nichtverwendung der QR-Code-Scanfunktion und die manuelle Eingabe des Codes. Zumindest scheint das Problem nicht aufzutreten, wenn die authentifizierten Konten zu Microsoft geh\u00f6ren.<\/p>\n

Beides sind bew\u00e4hrte L\u00f6sungen, die Anwender nutzen, die seit Jahren mit den Authenticator-Komplikationen zu k\u00e4mpfen haben. Das Problem an sich besteht wohl schon seit der Ver\u00f6ffentlichung von Microsoft Authenticator im Jahr 2016. In gr\u00f6\u00dferem Umfang tauchten Beschwerden dann seit 2020 auf.<\/p>\n

In einer solchen Beschwerde aus dem Jahr 2020 wurde die manuelle Eingabe der Informationen als Abhilfe erw\u00e4hnt, aber als nicht praktikabel f\u00fcr Unternehmen verworfen. In dem Post hie\u00df es, dass man den geheimen Schl\u00fcssel des Identit\u00e4tsanbieters verwenden und diesen w\u00e4hrend der Einrichtung manuell in die Authenticator-App eingeben k\u00f6nnte. Diese L\u00f6sung wurde allerdings auch zugleich als \u201d nicht sehr hilfreich\u201d eingestuft. Dies begr\u00fcndete der Nutzer damit, dass der \u201cdurchschnittliche Endbenutzer kaum etwas \u00fcber das Innenleben der Authentifizierung wei\u00df und der Anblick einer zuf\u00e4lligen Zeichenfolge einsch\u00fcchternd ist.\u201d<\/p>\n

Schuld sind die anderen<\/h3>\n

Microsoft best\u00e4tigte zwar das Problem, sagte aber auch, dass es sich um ein Feature und nicht um einen Bug handele. Die Schuld liege ausschlie\u00dflich bei den Nutzern oder den Unternehmen, die die App zur Authentifizierung verwendeten.<\/p>\n

Microsoft gab gegen\u00fcber CSO Online zwei Erkl\u00e4rungen ab:<\/strong><\/p>\n

In der ersten behauptete das Unternehmen, dass die Authentifizierungs-App wie vorgesehen funktioniere und Benutzer vor dem \u00dcberschreiben von Kontoeinstellungen eine Warnung erhielten. Die Warnmeldung allerdings ermutigt Benutzer, fortzufahren, wenn sie die Aktion selbst initiiert haben und die Quelle vertrauensw\u00fcrdig ist-was in den meisten F\u00e4llen zutrifft. Dadurch k\u00f6nnten Benutzer dennoch ihre Konten unbeabsichtigt \u00fcberschreiben, da die Nachricht keine klare Option bietet, dies zu verhindern, au\u00dfer den gesamten Authentifizierungsversuch abzubrechen.<\/p>\n

Einige Tage nach der ersten Antwort gab Microsoft eine ausf\u00fchrlichere Erkl\u00e4rung ab, in der sie die Urheber der QR-Codes f\u00fcr das Problem verantwortlich machte. Der Hersteller erkl\u00e4rte, dass einige Anbieter den Aussteller in der Kennzeichnung nicht angeben w\u00fcrden, was dazu f\u00fchren k\u00f6nne, dass bestehende TOTP-Konten \u00fcberschrieben werden. Microsoft betonte, dass Nutzer in solchen F\u00e4llen eine Aufforderung erhalten, das \u00dcberschreiben zu best\u00e4tigen oder abzulehnen. Am Ende deutete Microsoft an, dass man das Problem in zuk\u00fcnftigen Versionen der Authenticator App ber\u00fccksichtigen und ausbessern k\u00f6nnte.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

H\u00e4ufig ist der Microsoft Authenticator die schnellste Wahl. Aber ist es auch die richtige? Ascannio \u2013 shutterstock.com Microsofts Authenticator-App hat ein Alleinstellungsmerkmal: Das Tool l\u00f6scht alte Konten, wenn neue Konten per QR-Code hinzugef\u00fcgt werden. Und das hat sich trotz jahrelanger Beschwerden von Nutzern immer noch nicht ge\u00e4ndert. Warum eigentlich Microsoft? Deshalb fragen sich IT-Experten regelm\u00e4\u00dfig, […]<\/p>\n","protected":false},"author":0,"featured_media":531,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-530","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/530"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=530"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/530\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/531"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=530"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=530"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=530"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}