Ich bin heute über ein interessantes Detail gestolpert, wenn es um Multi Factor Authentication (MFA) geht und würde das gerne teilen.
Was ist MFA überhaupt?
Multi Factor Authentication (kurz MFA) bedeutet im Wesentlichen dass mehrere Faktoren notwendig sind um einen User zu identifizieren. Normalerweise kennt man das: Es gibt einen Usernamen ein Passwort und schon ist man angemeldet. So ist es aber ein leichtes das Geburtsdatum der Tochter oder den Namen des Hundes zu erraten und die Mailadresse des Users kennt man sowieso. Um dem User aber nicht mit 216 stelligen komplexen Passwörter zu belasten ist die einfachere Methode mit einem weiteren Faktor zu arbeiten.
Sehr beliebt und in diesem Zusammenhang gern gesehen "OTP" oder auch One Time Passwörter. Passwörter die genau nur einmal für diese Anmeldung gültig sind und danach nicht mehr benutzt werden können. Diese können per SMS oder auch eigener Applikation auf dem SmartPhone zugestellt werden.
Im Unternehmensumfeld sind auch SmartCards oder USB Tokens gern gesehen. Fingerabdrucksensoren sind bequem aber meines Gefühls nicht ganz so verbreitet.
Letzendlich geht es aber immer darum dem User nicht nur abzuverlangen etwas zu wissen, sondern auch etwas zu besitzen um ihn eindeutig zu identifizieren. Und Ja - ich "besitze" mein SmartPhone und verwende Beispielsweise die Multi-Factor Authentication App von PhoneFactor auf meinem Android Phone um meinen Office 365 Account zu schützen. Genauso könnte man aber die selbe Applikation für Windows Phone verwenden.
Beides sind Beispiele um einen Windows Azure Account (und damit natürlich auch Office 365 Accounts) zu schützen.
Das is ja alles voll kompliziert…
Ich sage nein, ganz einfach. Man meldet sich zum Beispiel auf der Office 365 Portal Seite an und bekommt nach Username und Passwort folgende Meldung:
Auf dem eigenen Windows Phone bekommt man dann kurz darauf die folgende Meldung in der installierten MFA Application:
Ein kurzer Druck auf "Verify" und schon springt das Portal weiter und meldet mich an. MAGIC!
Hey Cool - ich hab MFA aktiviert und mein Outlook ist jetzt offline?
Nun ja - gewisse Applikationen haben da noch so ihre Probleme. Outlook zum Beispiel kann mit MFA in dieser Form nicht umgehen und muss daher mit einem sogenannten App Passwort ausgestattet werden. Das ist im Wesentlichen die Umgehung der MFA für Services und Applikationen die mit dem MFA nicht umgehen können. Dabei generiert man ein wirklich sicheres Passwort das dann einmalig angezeigt wird und zukünftig für die Anmeldung verwendet werden kann. Für den normalen Menschen aber eher schwierig zu merken. (Meist 16-20 Stellen, sehr komplex und dgl.)
Man generiert diese am Beispiel des O365 Accounts (Azure MFA) passend zum Device oder der Applikation in der man sie verwendet. Wichtig ist dabei - diese Passwörter sollten auch nicht mehrfach verwendet werden.
Sinn des Ganzen soll es ja sein letztendlich auch einzelne Services wieder aussperren zu können und jede Applikation einzeln zu betrachten. Würde ich das App Passwort auf einen Zettel aufschreiben und auf den Monitor kleben könnte ich mir die ganze MFA Thematik überhaupt sparen. (man sieht - da kommt schon mal was zusammen…).
Uuuunnnnd… Welches Detail?
Ach ja, das Detail. Ich wollte heute mal so Neunmalklug sein und ein App Passwort für die Anmeldung an der Office 365 Exchange Powershell sowie an der MSOL Powershell nutzen. Dabei bin ich auf folgende Fehlermeldung gestoßen:
[AuthZRequestId=b1ea472f-d597-405e-88b6-b6bcf38a008f][FailureCategory=AuthZ-AppPasswordLoginException] Admin is not allowed to create session using app password.
Bedeutet im wesentlichen: Man darf sich per Powershell oder anderen Automatisierungstools nicht per App Password anmelden. Eigentlich recht gscheit.
Uuuunnnd… das ganze Gerede über MFA nur dafür?
Ja - ich weiß - die Fehlermeldung wäre in 5 Sätzen erklärt gewesen, aber ich glaub ich will auch klarmachen dass MFA eine super Sache ist und man sich nur durch kleine Rückschläge nicht entmutigen lassen sollte es zu benutzen.
Jetzt hab ich viel über MFA geplaudert wie toll und so, aber eigentlich nicht erklärt wo man es verwenden kann, wie es eingerichtet wird und vor allem - was kostet der Spaß?
Ich denke, das werde ich für den nächsten Blog Artikel aufheben.
LG Christoph