Anzeige

Am Puls von Microsoft

Anzeige

Mehr Sicherheit: Microsoft baut den Authenticator zum Passwortmanager aus

DrWindows

Redaktion
Bevor in der kommenden Woche das Weihnachtsfest vor der Tür steht, legt Microsoft den Nutzern des Microsoft Authenticators noch ein kleines Geschenk unter den virtuellen Weihnachtsbaum. Wie die Redmonder in einem neuen Blogpost ankündigten, steht der integrierte Passwortmanager nun als...

Klicke hier, um den Artikel zu lesen
 
Anzeige

map2020

kennt sich schon aus
Bisher bin ich was Passwörter speichern im Browser angeht eher nicht begeistert. Worin liegt nun die Verbesserung hinsichtlich Sicherheit? Etwas mehr Transparenz wäre gut.
 

Yee Haw

nicht mehr wegzudenken
Mit dem Authenticator werden Passwörter ersetzt. Wenn du dich (bisher) Online bei Microsoft anmeldest, meldet sich MS auf deinem Handy bei dem Authenticator. Dort wird dir eine Nummer angezeigt, die du ebenfalls im Authenticator eingeben musst. Passt diese, bestätigt Microsoft bei der anzumeldenden Seite. Microsoft übernimmt deine Anmeldung, die du auf einem Drittgerät bestätigst.

Es sollen also keine Passwörter im Browser abgelegt werden. Ich z. B. nehme aktuell Bitwarden, auch weil ich noch nicht weiß, ob ich mein MSO365 Abo verlängere.
 

Mattizin

kennt sich schon aus
An sich finde ich es gut, wenn Microsoft auch mal einen vernünftigen PW Manager anbietet.
Was ich mich nur frage:
Ist das so mit meinem MS Konto verknüpft, dass ich bei Sperrung (Wir erinnern uns) alle meine PWs verliere?
Wie kann ich aufm Desktop darauf zugreifen?
Also wäre das für mich als Keepass (Desktop) + Keepassium (iphone) User eine Alternative?
 

_Sabine_

gehört zum Inventar
@Mattizin Kommt darauf an, was für dich wichtiger ist. Sicherheit oder Bequemlichkeit. Für die Masse an Otto-Normalverbrauchern, die überall das gleiche, simple PW verwenden ist es sicherlich überwiegend eine Verbesserung und dank Cloud / MS-Account universell & leicht einsetzbar.

Aber dafür ist man im Worst-Case (Accountsperrung oder Kontrollverlust durch Hack, etc.) natürlich auch vom MS-PW-Manager abgeschnitten. Als Bonus sind zudem all die Logindaten bei einem (US)Anbieter in der Cloud hinterlegt.

Dazu kommt mit KP hast du deutlich mehr Möglichkeiten für Einträge, Verwaltung, Historie, Anhänge, etc.
 

Yee Haw

nicht mehr wegzudenken
Ich sach mal, egal wem Mensch seine Passwörter anvertraut, auch hier dürfte gelten: Kein Backup, kein Mitleid.
Vertrauen: Aktuell ist für mich Microsoft von allen amerikanischen IT-Konzernen der einzige, dem ich etwas wie Vertrauen entgegenbringen wollte. Zur technischen Weiterbildung wäre entweder das Cloud-Angebot von Strato interessant (sich dort alles einrichten) oder alles über ein NAS laufen lassen (wo den unterbringen, um gegen Einbruch, Feuer und Wasser geschützt zu sein?).

Passverwaltung im Browser: Zumindest Mozilla rühmt(e) sich damit, dass alle Passwörter AES256 verschlüsselt sind. Gerade fiel mir ein, in einer Randmeldung im Radio, dass sogar die Taliban und andere ihren Mailverkehr rein Online abwickelten, sehr zum Leidwesen einiger Geheimdienste.

Passwörter wirklich sicher gibt es nicht. Auch auf einem Zettel hinterlegt und immer schön eingetippt. Wie schön, dass es keine Keylogger gibt.

Passwörter möglichst sicher geht vermutlich nicht ohne bezahlte Dienstleistung (und auch Microsoft ist auf Vertrauen angewiesen).
 

mh0001

gehört zum Inventar
Ich stünde MS bezüglich Passwortmanager ja grundsätzlich offen gegenüber, habe allerdings Bedenken, weil ich wie bei anderen in Browsern integrierten Passwortspeichern noch nicht das Gefühl habe, die Passwortdatenbank wirklich im Griff zu haben.

Dafür müsste man einige Features nachrüsten, die etablierte Passwortmanager wie z.B. Enpass besitzen. Dazu gehört eine offizielle Möglichkeit, die Passwortdatenbank verschlüsselt zu exportieren. Weiterhin wäre ein vom Accountpasswort unabhängiges Verschlüsselungspasswort schön, das man auf jedem neu synchronisierten Gerät einmalig hinterlegen muss, und welches das Gerät weder in Klarform (versteht sich ja von selbst) noch als Hash verlässt. Das immer mal wieder zur Benutzung eingegebene Accountpasswort ist dafür nicht sicher genug, weil mit jeder Eingabe das Risiko steigt, dass es irgendwann mal abgegriffen wird.

Als nächstes wäre für soetwas wichtiges eine absolute Kontrolle über den Syncvorgang wünschenswert. Dass das "irgendwie" mit den Browserfavoriten zusammen synchronisiert wird, man weder einen Knopf hat die Sync manuell zu starten, noch detaillierte Statusinformationen zum letzten Stand der Synchronisation erhält, macht das Ganze für mich potentiell unzuverlässig.
Man hat ja gesehen, welche Schwierigkeiten schon das korrekte und zuverlässige synchronisieren einfacher Favoriten und des Verlaufs bereiten kann. Für eine Passwortdatenbank muss Konsistenz und Fehlerfreiheit der Synchronisation absolut sicher gestellt sein.
Es darf nicht passieren, dass ich neues Passwort irgendwo vergebe, das aber nur erstmal lokal gespeichert wird, und dann hängt die Synchronisation oder noch schlimmer es wird irgendwann wieder vom Server mit der älteren Version überspielt. Dann ist das neue Passwort nämlich weg oder wäre gegebenenfalls nicht verfügbar, wenn man es auf einem anderen Gerät braucht. Duplikate aus alten/neuen Einträgen dürften auch nicht passieren.
Sachen, wo sich MS in der Vergangenheit bei ihren Syncs leider nicht gerade mit Ruhm bekleckert hat.

Was mir spontan in der Beta des Microsoft Authenticators aufgefallen ist, und was mich schon direkt negativ stimmt, aber vielleicht kommt das ja noch:
Man muss unbedingt in der Lage sein, Einträge manuell neu anzulegen oder zu bearbeiten. Einen vollwertigen Passwortmanager benutze ich persönlich auch für Lizenzcodes, Kontonummern etc., alles Dinge, die ich nicht darin ablegen kann, wenn die einzige Möglichkeit einen neuen Eintrag anzulegen ist, dass der Browser es mir beim Ausfüllen einer Login Maske automatisch anbietet.

Und natürlich darf ein versehentlich gelöschter oder überschriebener Eintrag nicht restlos verschwinden. Es muss einen über die Geräte synchronisierten Bearbeitungsverlauf und einen "Papierkorb" geben, die es ermöglichen, Änderungen zurück zu nehmen und Einträge wiederherzustellen.

Für mich sind das heutzutage alles Basics eines Passwortmanagers, und ernsthaft testen werde ich die MS Lösung erst, wenn das alles unterstützt wird.
 

map2020

kennt sich schon aus
Dosenbit schrieb:
Mit dem Authenticator werden Passwörter ersetzt. Wenn du dich (bisher) Online bei Microsoft anmeldest, meldet sich MS auf deinem Handy bei dem Authenticator. Dort wird dir eine Nummer angezeigt, die du ebenfalls im Authenticator eingeben musst. Passt diese, bestätigt Microsoft bei der anzumeldenden Seite. Microsoft übernimmt deine Anmeldung, die du auf einem Drittgerät bestätigst.

Es sollen also keine Passwörter im Browser abgelegt werden. Ich z. B. nehme aktuell Bitwarden, auch weil ich noch nicht weiß, ob ich mein MSO365 Abo verlängere.

Bzgl. MS ist das klar, nur ist das ja wohl auch eine Lösung für andere Anmeldungen. Und da ist halt immer noch oft ein Passwort im Spiel.
 

Magic

kennt sich schon aus
Interessante Idee, aber der Authenticator selbst müsste dann zwingend mit einem eigenen starken Passwort geschützt sein, dass auch bei jeder Autentifizierung abgerfragt werden. Anderrnfalls würde man die 2-Faktor-Autentifizierung damit aushebeln, wenn man nicht 2 verschiedene Geräte oder wenigstens 2 verschieden Anwendungen für die Anmeldung verwendet.

Ich hab die Beta des Authenticators nicht ausprobiert, für Daten wie z.B. Software-Lizenzen müsste man aber wahrscheinlich trotzdem wieder einen richtigen Passwort-Manager verwenden, da MS wohl eher nicht vorhaben wird, die GUI des Authenticators aufzubohren. Dann kann man auch gleich alles über einen Passwort-Manager erledigen. Da gibt es mittlerweile auch sehr komfortable Lösungen für iOS und Android, die idealerweise auch noch OpenSource sind.Eine Synchronsierung über Onedrive ist da auch kein Problem mehr.

Wer bisher aber immer das gleiche Passwort für alle Die ste verwendet hat, dürfte das neue System von MS aber eine gute bzw. bessere Alternative mit mehr Sicherheit sein.

Ich bin auf die finale Version gespannt, gehe aber davon aus, dass ich den Authenticator weiterhin nur als zweiten Faktor verwenden werde.

P.S. Wird das Forum schon umgebaut? Bei mir werden die Umlaute nicht mehr richtig dargestellt. Da wird wohl schon ein neuer Zeichensatz getestet ;)
 

Martin

Webmaster
Teammitglied
Das Umlaute-Problem ist ein sporadisch auftretender Bug im alten Forum, der uns zusammen mit diesem hoffentlich für immer verlassen wird :D.
Der Authenticator schützt sich selbst mit einer biometrischen Anmeldung, d.h. um ein Passwort einzufügen, muss ich beispielsweise jedes Mal den Finger auf den Sensor legen, um zu beweisen, dass ich ich bin. Das macht diese Lösung schon mal sicherer als das, was Google oder Samsung unter Android anbieten, da gibt es keine zusätzliche Absicherung.
Für Leute, die einen ausgewachsenen Passwort-Manager verwenden, ist das sicherlich keine Alternative. Aber es könnte ein gutes Angebot für jene Nutzer sein, die keinen solchen Manager nutzen.
 

Chris Carl

nicht mehr wegzudenken
PW-Manger sind Vertrauenssache und die fehlt mir bei MS Innovationen. Könnte sein dass nach 12Mo wieder damit Schluß ist. Als Admin mit über 700PW wäre dies ein Supergau, aber dafür gibt es ja prof. SW. Für Private sicher ein Mehrwert, aber wehe wenn...
 

yf2hu67

kennt sich schon aus
Heute kam unter Android ein Update für den Microsoft Authenticator und seit dem funktioniert AutoAusfüllen auch bei mir.
Version 6.2101.0594
👍🤗
 
Anzeige
Oben