Einige Geheimnisse sind zu wichtig, um nur durch ein Passwort geschützt zu werden.
Das Problem mit Passwörtern besteht darin, dass sie zu leicht gestohlen, erraten oder gefälscht werden können. Ein Bösewicht, der Ihren Benutzernamen und Ihr Passwort erwirbt, kann diese Anmeldeinformationen verwenden, um sich beim zugehörigen Dienst als Sie auszugeben, mit möglicherweise katastrophalen Ergebnissen.
Ihre Organisation kann es sich nicht leisten, Kennwörter zur einzigen Barriere zu machen, die Ihre Geschäftsdateien und E-Mails vor Angreifern von außen schützt. Sie benötigen eine zusätzliche Sicherheitsebene namens Multi-Faktor-Authentifizierung. Es erfordert mindestens zwei Authentifizierungsformen aus einer beliebigen Kombination der folgenden Elemente:
- “ Etwas, das Sie kennen“, z. B. ein Passwort oder eine PIN
- „Etwas, das Sie sind“, z. B. ein Fingerabdruck oder eine andere biometrische ID
- „Etwas, das Sie haben“, z. B. ein vertrauenswürdiges Smartphone, das Bestätigungscodes generieren oder empfangen kann
Moderne Onlinedienste für Unternehmen ermöglichen es Ihnen, Benutzerkonten um eine zweite Form der Authentifizierung zu erweitern, eine Konfiguration, die häufig als Zwei-Faktor-Authentifizierung (2FA) bezeichnet wird. Das klassische 2FA-Beispiel ist eine Bankomatkarte, die durch einen zweiten Faktor in Form einer numerischen PIN gesichert ist. Wenn Ihre Bankomatkarte gestohlen wird, ist sie nutzlos, da der Dieb Ihre PIN nicht hat. Und eine gestohlene oder gefischte PIN ist nutzlos, es sei denn, der Dieb kann auch den Magnetstreifen auf Ihrer physischen Karte streichen.
Enterprise Editions von Office 365 enthalten die Möglichkeit, jedem Benutzerkonto 2FA hinzuzufügen. (In diesem Office-Blogbeitrag wird die Funktionsweise des Features erläutert.) Nachdem Sie ein Benutzerkonto so konfiguriert haben, dass 2FA erforderlich ist, gibt der Benutzer seinen Benutzernamen und sein Passwort wie gewohnt beim Besuch ein Office365.com. Nach erfolgreichem Bestehen dieser Herausforderung wird die in Abbildung A gezeigte Eingabeaufforderung angezeigt.
Abbildung A
In diesem Beispiel ist Office 365 so konfiguriert, dass der Bestätigungscode als Textnachricht an die dem Benutzerkonto zugeordnete Mobiltelefonnummer gesendet wird (es gibt das „etwas, das Sie haben“). Ein Dieb hat möglicherweise das Passwort Ihres Benutzers, aber er hat das Telefon nicht mit diesem Gerät verknüpft, sodass er den zufällig generierten numerischen Code, der an dieses vertrauenswürdige Gerät gesendet wurde, nicht eingeben kann. Und er hat auch nicht viel Zeit zum Arbeiten, weil der Code ungefähr eine Minute nach dem Senden abläuft.
Das Problem bei Überprüfungsoptionen, die auf Textnachrichten (SMS) basieren, besteht darin, dass Sie nicht immer darauf zählen können, diese Nachrichten zu erhalten, wenn Sie sie benötigen. Wenn Sie in Ihrem Hotel oder Remote-Büro eine Hochgeschwindigkeitsnetzwerkverbindung haben, Ihr Mobilteil jedoch „Kein Service“ anzeigt, haben Sie kein Glück.
Die Lösung besteht darin, eine alternative Überprüfungsoption aus der Liste in Abbildung B zu verwenden.
Abbildung B
Die erste Wahl in dieser Liste funktioniert auch dann, wenn Sie keine Textnachricht oder einen Code empfangen können, der von einer Roboterstimme an Ihre Sprachleitung gesendet wird. Es wird davon ausgegangen, dass Sie die Azure Multi-Factor Authentication-App installiert haben, die für iOS-Geräte (iPhone und iPad) über den App Store, Android-Geräte über den Google Play Store und Windows Phone verfügbar ist.
Da Office 365 auf Microsoft Azure basiert, können Sie mit dieser App Bestätigungscodes basierend auf Ihrem geheimen Schlüssel und dem aktuellen Datum und der aktuellen Uhrzeit generieren. Es spielt keine Rolle, ob Ihr Telefon über eine aktive Datenverbindung verfügt. Wenn Sie die App öffnen können, können Sie einen Code abrufen, der als gültiger zweiter Authentifizierungsfaktor fungiert.
Abbildung C zeigt, wie die App auf einem Android-Smartphone aussieht.
Abbildung C
Wenn Sie mehr als ein Konto eingerichtet haben, werden für jedes Konto separate Codes angezeigt. Jeder Code ist 30 Sekunden lang gültig, wobei der Fortschrittsbalken oben in der App anzeigt, wie lange es dauert, bis der nächste Code generiert wird.
Wenn in Ihrem Webbrowser die Aufforderung zur Eingabe des Bestätigungscodes angezeigt wird, geben Sie den aktuellen Wert in der App ein, und Sie erhalten Zugriff auf Office 365.
Es ist erwähnenswert, dass 2FA Ihr Konto vor unbefugtem Zugriff schützt. Es schützt nicht einzelne Dateien oder Nachrichten.
Um 2FA in einem Office 365 einzurichten, müssen Sie sich als Administrator anmelden, das Office 365 Admin Center aufrufen und auf Benutzer | Aktive Benutzer klicken. Klicken Sie im Dashboard Aktive Benutzer auf die Option in Abbildung D, um den Einrichtungsprozess zu starten. In diesem Schritt gelangen Sie zu einer Liste der aktiven Benutzer, in der Sie ein oder mehrere Konten auswählen und dann 2FA aktivieren oder deaktivieren können.
Abbildung D
Nach Abschluss der Einrichtung wird jeder Benutzer aufgefordert, die zusätzlichen Schritte zur Sicherheitsüberprüfung einzurichten. Wenn Sie die Option zum Einrichten der Smartphone-App auswählen, installieren Sie sie zuerst auf Ihrem Gerät. Verwenden Sie dann während der Einrichtung den QR-Code auf dem Bildschirm, um die App für die sichere Verwendung zu konfigurieren (Abbildung E).
Abbildung E
Als Benutzer können Sie Ihre 2FA-Einstellungen jederzeit ändern. Sie können beispielsweise das Standardverhalten so ändern, dass die App eine Bestätigungsaufforderung anzeigt, auf die Sie tippen können, um sie zu genehmigen. Sie können Ihren Einstellungen auch ein alternatives Mobiltelefon hinzufügen.
Um auf diese Einstellungen zuzugreifen, melden Sie sich bei Office 365 an, klicken oder tippen Sie auf das Zahnradsymbol in der oberen rechten Ecke, wählen Sie Office 365-Einstellungen und dann Zusätzliche Sicherheitsüberprüfung aus. Sie müssen Meine für die Kontosicherheit verwendeten Telefonnummern aktualisieren auswählen, um alle verfügbaren Optionen anzuzeigen.
Ein letzter wichtiger Hinweis zur Verwendung von Office 365 mit Office 2FA. Wenn Sie diese zusätzliche Sicherheitsstufe aktivieren, funktionieren Ihre Office 365-Kontoanmeldeinformationen nicht mehr in E-Mail-Apps auf Ihrem Telefon oder PC, einschließlich Microsoft Outlook und Lync. Sie müssen für jedes dieser Geräte ein separates App-Passwort generieren und es als Teil der Ersteinrichtung eingeben. Das Bedienfeld für App-Kennwörter befindet sich auf einer separaten Registerkarte neben den zusätzlichen Optionen zur Sicherheitsüberprüfung.
Wenn Sie sich zum ersten Mal auf einem Gerät bei einem Konto anmelden, können Sie dieses Gerät als vertrauenswürdig festlegen („Fragen Sie mich nicht erneut nach einem Code für dieses Gerät“). Das beseitigt den Ärgernisfaktor auf Geräten, die Sie regelmäßig verwenden.
Wenn Sie der Meinung sind, dass ein Gerät gestohlen oder kompromittiert wurde, können Sie online gehen und die Liste der vertrauenswürdigen Geräte löschen, sodass Sie die Überprüfung für jedes Gerät wiederholen müssen. Da dies ein einzelner Schritt ist, ist es nur einmal pro Gerät mühsam. Wenn Sie sich auf einem nicht vertrauenswürdigen Gerät anmelden (z. B. einem geliehenen Computer), dürfen Sie es offensichtlich nicht auf Ihrer Liste der vertrauenswürdigen Geräte haben.