Microsoft Authenticator: Nummernabgleich wird ab Mai für alle Benutzer erzwungen
Michael Kasper / 24. Februar 2023+++ Update: Microsoft verlängert kurzfristig noch die Schonfrist und nennt nun statt dem 27.02.2023, den 08.05.2023 als Stichtag. Die Erzwingung wird nun laut Microsoft erst nach dem 08. Mai durchgeführt. Es empfiehlt sich aber in jedem Falle trotzdem, die Aktivierung bereits davor durchzuführen! +++
Seit Anfang Q4 2022 ist der Nummernabgleich für die Microsoft Authenticator App für alle verfügbar und kann jederzeit durch einen Administrator für alle Benutzer aktiviert werden.
Diese Feature adressiert die Möglichkeit einer versehentlichen Genehmigung, da die Benutzer aufgefordert werden, eine Nummer einzugeben, welche auf dem Login Screen angezeigt wird. Spezielle Angriffe, mit dem Ziel den Benutzer mit einer Flut an MFA-Anfragen dazu zu bringen, die Benachrichtigungen im Affekt zu bestätigen, sollen hiermit wirkungsvoll abgewehrt werden. Diese Angriffe werden auch „wear-out-attacks“ oder „fatigue-attacks“ genannt.
Ab dem 08.05.2023 wird die Möglichkeit der manuellen Aktivierung des Features aus den Tenants entfernt und der Nummernabgleich wird für alle Benutzer der Microsoft Authenticator App erzwungen. (Quelle)
Um das Ganze kontrolliert auszurollen, empfiehlt es sich, dieses Feature bereits vor der Erzwingung zu aktiveren. Dies geschieht an folgender Stelle im Azure Active Directory Portal (https://aad.portal.azure.com):
An derselben Stelle empfiehlt es sich, gleich noch den Anwendungsnamen und den geografischen Standort in den Push Benachrichtigungen zu aktivieren. Das reduziert die Gefahr der versehentlichen Genehmigungen noch weiter und sieht dann folgendermaßen aus:
Für Hilfe oder Fragen erreichen Sie uns über unseren Support per Mail an support@abtis.de oder per Telefon unter 07231/4431-200.
Kostenfreies Beratungsgespräch - Jetzt 30 Minuten Slot buchen
Unsere Experten beraten Sie gerne individuell in einem kostenlosen Erstgespräch über unsere intelligenten IT-Security Möglichkeiten. Klicken Sie hierfür einfach auf den Button und buchen Sie in unserem Kalender direkt Ihren Wunschtermin.
Jetzt Security Erstgespräch buchen