Azure Multi-Faktor-Authentifizierung (MFA) unterzieht sich einer wichtigen Veränderung mit dem globalen Rollout des «Number Matching» Features für alle Azure Tenants. Das nun angekündigte und datierte Rollout ist der nächste Schritt in Microsofts Push in Richtung «Passwordless» Authentifizierung.
Ankündigung zum Tenant Rollout
Spätestens mit der Ankündigung vom 22. Januar 2023 ist das Ausrolldatum und der Fakt bekannt, dass Microsoft die Administratorsteuerelemente einschränkt und dadurch künftig in der Authenticator App die Number Matching Funktion forciert. Konkret lautet die Ankündigung wie folgt.
«Der Nummernabgleich stellt ein wichtiges Sicherheitsupgrade für die herkömmlichen zweistufigen Benachrichtigungen in Microsoft Authenticator dar. Die Administratorsteuerelemente werden entfernt. Stattdessen wird ab dem 27. Februar 2023 der mandantenweite Nummernabgleich für alle Benutzer erzwungen.
Es wird dringend empfohlen, den Nummernabgleich kurzfristig zu aktivieren, um die Anmeldesicherheit zu verbessern.»
Hier nachzulesen.
Warum Microsoft den Number Matching Rollout forciert
Der Grund für diesen Rollout ist die zunehmende Anzahl erfolgreicher Angriffe auf Systeme, die durch MFA geschützt sind. Dies liegt an den verschiedenen Stärken der MFA-Authentifizierungsmethoden wie SMS, Anrufe, OTP-Tokens und Push-Benachrichtigungen. Diese Methoden erhöhen zwar im Vergleich zu keinem MFA die Sicherheit, werden jedoch immer anfälliger für Angriffe. Erfolgreiche Angriffe auf MFA geschützte Systeme stützen sich auf der MFA Fatigue Methode, die auch als MFA Spamming bekannt ist. Das Number Matching Feature adressiert dieses Problem und beugt dieser Methode vor, wie in diesem Artikel von Microsoft nachgelesen werden kann.
Was der Number Matching MFA Rollout bedeutet
Für bestehende Tenants wird das Number Matching Feature der neue Standard für alle Benutzer, die die Authenticator App für MFA verwenden. Das bedeutet, dass die Administratorsteuerelemente in Azure AD > Security > Authentication Methods > Policies > Microsoft Authenticator > Configure nach dem Rollout ab 27. Februar 2023 nicht länger verfügbar sein werden. Mit Number Matching als neuem Standard werden Push-Benachrichtigungen zur einfachen Akzeptanz von Anmeldeanfragen per Knopfdruck nicht mehr verfügbar sein. Number Matching per Push-Benachrichtigung ist dann die einzige Option.
Fazit
Zusammenfassend ist der Number Matching Rollout ein wichtiger Schritt zur Verbesserung der Sicherheit von Azure MFA. Microsoft rollt den effektiven und erzwungenen Wechsel von Push-Benachrichtigungen auf Number Matching mit ziemlich kurzer Informationsvorlaufzeit aus. Organisationen und Benutzer, welche die Authenticator App verwenden und dies auch weiterhin tun möchten, werden zum Number Matching gezwungen. Das Feature ist gemäss meinen Erfahrungen zuverlässig, einfach zu bedienen und für den Benutzer grundsätzlich kein Mehraufwand, muss er lediglich eine zweistellige Zahl vom Bildschirm abtippen. Aus diesem Grund begrüsse ich diese Umstellung, trotz der kurzen Vorlaufzeit. Die Option für das Number Matching ist schon mindestens seit Spätsommer 2022 verfügbar. Wer also bereits selbst aktiv war und Number Matching konfiguriert hat wie es empfohlen wurde, ist im Vorteil bezüglich Benutzerkommunikation.
Wer aus unerklärlichen Gründen Number Matching doch nicht verwenden möchte, dem stehen weiterhin die anderen MFA-Methoden zur Konfiguration zur Verfügung, wie SMS, Anruf, 3rd Party Token und zertifikatsbasierte Authentifizierung. In diesem Falle ist die Wahl aber gut abzuwägen, um die Sicherheit nicht künstlich zu verringern.
Quellen:
German 
English
Ein Gedanke zu „Number Matching MFA Rollout“