Anzeige

Am Puls von Microsoft

Anzeige

Microsoft Authenticator als Passwortmanager verwenden – Anleitung und Diskussion

DrWindows

Redaktion
Microsoft Authenticator als Passwortmanager verwenden – Anleitung und Diskussion
Microsoft Authenticator


Der Microsoft Authenticator diente bisher der Anmeldung per Zwei-Faktor-Authentifizierung. „Erfunden“ wurde er vorrangig für Microsoft-Konten, er kann aber auch die zweistufige Anmeldung bei Twitter, Amazon, Facebook und zahlreichen weiteren Diensten unterstützen, die über sogenannte One-Time-Passwords (kurz OTP) abgesichert sind.

Kürzlich wurde das Aufgabengebiet des Microsoft Authenticator deutlich erweitert, er kann nämlich jetzt auch als Passwortmanager eingesetzt werden. Ich will in diesem Beitrag zeigen, wie das funktioniert, gleichzeitig aber auch das Für und Wider diskutieren. Der Beitrag bezieht sich auf den Authenticator für Android, die iOS-Version funktioniert aber ähnlich.

Die Startseite ist jetzt in zwei Hauptbereiche unterteilt. Die App startet mit der gewohnten Ansicht, in der die eingerichteten Konten aufgelistet sind. Da ich gerade erst ein neues Smartphone in Betrieb genommen habe, sieht man auf dem Screenshot unten links nur meine beiden Microsoft-Konten.

Rechts daneben ist das Icon für den Zugriff auf die Kennwörter. Wenn man bereits mit seinem Microsoft-Konto eingeloggt ist und den Edge-Browser unter Windows verwendet, bietet der Authenticator an, die in diesem Konto gespeicherten Passwörter zu importieren. Außerdem können an dieser Stelle künftig die Kennwörter aus Google Chrome oder aus einer CSV-Datei importiert werden. In der Beta-Version des Authenticator ist diese Funktion bereits enthalten.

Microsoft Authenticator Screenshots

Das zu synchronisierende Konto lässt sich zu einem späteren Zeitpunkt auch wieder trennen, das passiert über die Einstellungen (Bildmitte).

In den Einstellungen findet sich auch der wichtigste Schalter, nämlich die Auswahl des Microsoft Authenticator als „AutoAusfüllen-Anbieter“. Damit kann der Authenticator Benutzernamen und Kennwörter in nahezu alle Apps und Browser einfügen, die auf dem Smartphone installiert sind, wie das bei Passwortmanagern so üblich ist.

Wer beispielsweise Microsoft Edge sowohl am Smartphone als auch am PC verwendet und die Synchronisation aktiviert hat, der benötigt diese Funktion nur, wenn gelegentlich andere Browser verwendet werden oder man auch seine App-Kennwörter im Microsoft-Konto speichern möchte.

Einen Screenshot der Liste meine gespeicherten Accounts kann ich euch aus nachvollziehbaren Gründen nicht zeigen, ich kann euch aber erzählen, dass die Einträge automatisch mit dem Icon der App oder Webseite versehen werden, das erleichtert die Suche, wenn man durch die Liste blättert. Die Einträge lassen sich auch manuell durchsuchen und es gibt auch eine Funktion zum Bearbeiten und Löschen vorhandener Einträge. Dafür habe ich ein unverfängliches Beispiel ausgewählt – siehe oben rechts.

Die Bearbeitungsfunktionen sind allerdings rudimentär – nur das Kennwort lässt sich manuell ändern, Benutzername und URL sind fix. Es gibt außerdem auch keine Möglichkeit, Einträge zu kategorisieren, zu verschlagworten oder mit einem eigenen Namen zu versehen. Kurz gesagt: Alles, was ausgewachsene Passwortmanager anbieten, fehlt hier.

Damit sind wir auch schon bei der Diskussion angelangt. Wer einen vollwertigen Passwortmanager sucht, für den ist der Microsoft Authenticator in dieser Form keine Alternative. Ich glaube aber, das will er auch gar nicht sein. Für Nutzer, die einfach nur eine funktionierende, geräteübergreifende Passwort-Synchronisation wünschen, ist das Angebot dagegen perfekt.

Man sollte in diesem Fall aber auf keinen Fall vergessen, über die Desktop-Version von Edge regelmäßig eine Sicherungsdatei der Kennwörter zu erstellen, denn sollte man je den Zugriff auf sein Microsoft-Konto verlieren, dann sind auch alle Kennwörter weg. Dieses Risiko hat man selbstverständlich mit jedem Anbieter und jedem Passwortmanager.

Ein weiterer diskussionswürdiger Punkt ist, dass der Authenticator somit bei zweistufig abgesicherten Konten nun sowohl das gespeicherte Kennwort als auch die Code-Generierung verwaltet, was die doppelte Absicherung ein wenig ad absurdum führt. Hier gilt es allerdings zu bedenken, dass der Authenticator standardmäßig mit einer App-Sperre arbeitet, die muss ein Dieb also erst mal überwinden.

Ich habe die neue Funktion bei mir aus Komfortgründen aktiviert, die Hoheit über die Verwaltung meiner Kennwörter bleibt allerdings bei Enpass. Änderungen muss ich zwar hin und wieder von Hand nachpflegen, auf diese Weise habe ich aber alle wichtigen Zugänge redundant gespeichert. Backups mache ich selbstverständlich trotzdem.


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige

mh0001

gehört zum Inventar
Das Hauptproblem sehe ich tatsächlich eher darin, dass man ohne private Verschlüsselung der Passwortdatenbank arbeitet.

Zugriffssperre schön und gut (in der Authenticator-App die Entsperr-PIN, am PC im Edge Browser durch die Benutzer-Anmeldung), aber extra verschlüsselt außer vielleicht mit dem Accountpasswort wird die Datenbank nicht, bevor sie auf den Server synchronisiert wird.
Es gilt also das gleiche wie für Daten auf dem Onedrive oder andere persönliche Daten im Microsoft Account: Der Betreiber hat prinzipiell Zugriff. Im Falle einer Kompromittierung, falls einer in die Server von MS einbricht (zum Glück ja wohl noch nie vorgekommen), kann diese Person die synchronisieren Passwörter der Nutzer unter Umständen einsehen.

Darum arbeiten andere Passwortmanager (und sogar auch Google bei Chrome!) für gewöhnlich mit einem Masterpasswort bzw einer Passphrase, die abweichend von den Zugangsdaten des Sync-Accounts ist. Damit werden die zu synchronisierenden Daten und Passwörter eben lokal verschlüsselt, bevor sie hochgeladen sind. Und die Passphrase verlässt das Gerät weder im Klartext noch als Hash. Der Anbieter kann auch mit Vollzugriff auf seine Server die Daten nicht einsehen.

Genau das sehe ich bei der derzeitigen Implementierung des Authenticators jedoch in Gefahr.
Falls die Daten zumindest mit dem Accountpasswort verschlüsselt werden, ist das schonmal ein Schritt in die richtige Richtung, da dieses (hoffentlich :p) den Rechner ja auch nicht im Klartext verlässt und allein mit dem Hash auch MS selber nicht in der Lage wäre, die Passwort DB zu entschlüsseln. Allerdings bietet Gleichheit von Account Passwort und Verschlüsselungskey immer eine prinzipielle Angriffsfläche für Phishing. Da man das MS-Passwort ja auch mal im Browser eingeben muss und es somit nicht exklusiv lokal nutzen kann.
Daher wäre es meiner Meinung nach immens wichtig, wenn sie diesen zusätzlichen Layer einer unabhängigen Passphrase für die Verschlüsselung schaffen würden.

Es würde ja schon genügen, diese bei der Installation der Authenticator App oder bei der Erstanmeldung im Browser einmalig hinterlegen zu müssen. Es muss einfach nur einen Schutz dagegen geben, dass ein Angreifer durch Erbeutung der Accountdaten gleich Zugriff auf alles hat.

Manager wie Enpass lösen das von vornherein automatisch durch die vollständige Trennung von Sync-Anbieter und Passworttresor-Verwaltung. Im Authenticator tut man jedoch praktisch genau das, wovor einen Enpass und alle anderen Manager in fetter roter Schrift bei der Erstellung der Datenbank warnen: nämlich das Sync Passwort auch als Masterpasswort zu nehmen.
 
Zuletzt bearbeitet:

skalar

gehört zum Inventar
Der "Passwort Authenticator" wird in Zukunft seine volle Blüte mit "Azure-Quantum" entfalten. Die Zwei Bereiche können nicht besser zusammenpassen!
 
Zuletzt bearbeitet:

PeteM92

gehört zum Inventar
ot:
Ich kann den Artikel sehr gut hier im Forum lesen, wenn ich auf "+ alles anzeigen" clicke.
Allerdings sehe ich dann nicht, wer den Artikel verfasst hat - und das ist für mich eine ganz wichtige Information.
Läßt sich das auch im Forum einblenden oder in den Artikel reinschreiben?
 

shrike

treuer Stammgast
Sehe ich das falsch? Wenn jemand mein Smartphone klaut und schafft, es zu knacken, was bestimmt nicht unmöglich ist. Dann benötigt er zwar ein Masterpasswort um an die Daten vom Passwortmanager zu kommen, aber Schaden kann er auch so anrichten. Durch das Autoausfüllen kommt er doch in alle möglichen Accounts, zum Beispiel Amazon oder Ebay. Nur um mal paar Beispiele zu nennen.
Oder verstehe ich das falsch?
 

Blade VorteXx

gehört zum Inventar
Vllt. Eine Ergänzung zum Artikel: Sobald Enterpriseaccounts verknüpft sind, ist die Autofill-Funktion derzeit automatisch nicht funktional.
 

manni8

gehört zum Inventar
@Martin nutzt du Enpass in der kostenlosen Version oder zahlst du?
Wie schlägt sich Enpass im Vergleich zu Bitwarden?
Bin auf der Suche nach einem Passwortmanager, aktuell sind die Passwörter in einer Textdatei im OneDrive Tresor abgespeichert.

In der Authenticator App sehe ich das Menü Passwörter aktuell nicht (Android). Vielleicht weil ich auch ein Geschäftskonto eingebunden habe?
 

Martin

Webmaster
Teammitglied
Ich habe für Enpass vor langer Zeit mal bei irgendeiner Aktion eine Lifetime-Lizenz gekauft. Einen Vergleich zu Bitwarden kann ich nicht ziehen, das habe ich nie genutzt. Vor Enpass hatte ich nur KeePass im Einsatz.
@Blade VorteXx mein DrWindows-Konto ist ja auch ein Office 365 Account und bei mir funktioniert es. Als ich von der Beschränkung las, funktionierte es noch nicht. Daher dachte ich, das sei inzwischen aufgehoben.
Oder gilt die Beschränkung nur für Azure AD-Konten?
 

Zeraphine

gehört zum Inventar
Ich nutze nur Keepass als Desktop Programm, die Datenbank kommt verschluesselt extern auf einen Stick. Auf mein Smartphone kommt davon nix!
 

Alex

nicht mehr wegzudenken
(OT)
Bei KeePass finde ich gut, das man auch Anhänge in der App speichern kann. Und Leute die ein sehr hohes Sicherheitsbedürfnis haben, können einezel Passwörter in KeePass noch mal mit einem Passwörter schützen.

Denn Ansatz von Microsoft finden ich ok. Erspart einem etwas Arbeit und macht das MS Ökosystem wieder etwas runder.
Ich persönlich bin aber kein Fan davon, meine Passwörter online zu synchronisieren. Selbst die KeePass Datenbank wird nur lokal gespeichert.
Ist zwar auch nicht 100% aber besser als es irgendwo in der Cloud zu speichern.
 

UweBo

treuer Stammgast
Ich habe für Enpass vor langer Zeit mal bei irgendeiner Aktion eine Lifetime-Lizenz gekauft. Einen Vergleich zu Bitwarden kann ich nicht ziehen, das habe ich nie genutzt. Vor Enpass hatte ich nur KeePass im Einsatz.
@Blade VorteXx mein DrWindows-Konto ist ja auch ein Office 365 Account und bei mir funktioniert es. Als ich von der Beschränkung las, funktionierte es noch nicht. Daher dachte ich, das sei inzwischen aufgehoben.
Oder gilt die Beschränkung nur für Azure AD-Konten?

Es gibt hier sehr wohl Einschränkungen:


Ich kann dir Autofill Funktion auch nicht aktivieren. Die Authenticator App habe ich mit meinem normalen Microsoft Account eingerichtet und nachträglich eine geschäftlichen Account aus einem O365 E1 Tenant hinzugefügt. Ich habe schon 2x den Tenant auf die Whitelist setzten lassen (siehe Artikel), aber hat sich bis jetzt nichts geändert.

VG Uwe
 

UweBo

treuer Stammgast
Ich habe gerade eine neue Authenticator App Version rein bekommen und jetzt kann ich die Einstellungen aktivieren. Auch sind jetzt alle Optionen ganz regulär vorhanden und werden nicht als Beta gekennzeichnet.

VG Uwe
 

der_lala

Herzlich willkommen
Ich nutze aktuell keepassxc ; früher keepass, aber mir wurde das Update der Applikation und der essentiellen plugins zu nervig (DB Backup+ Sprache).

Ich suche aktuell aber was "multiuser"- fähiges für Firma und Familie , bei gemeinsamer Nutzung kommt keepass(XC) an seine und dann geht gern mal die DB kaputt.
Hat da jmd ne Empfehlung? (Lokale Speicherung bevorzugt)

Grüße c
 

ntoskrnl

gehört zum Inventar
Passwörter quasi unverschlüsselt (MS hat den Key) im Internet zu speichern - wonach es hier aussieht - halte ich für keine gute Idee.

Darum arbeiten andere Passwortmanager (und sogar auch Google bei Chrome!) für gewöhnlich mit einem Masterpasswort bzw einer Passphrase, die abweichend von den Zugangsdaten des Sync-Accounts ist.
Die Verschlüsselung muß bei Chrome manuell aktiviert werden. Default ist aus.
 

manni8

gehört zum Inventar
Nutzt jemand von euch von Microsoft Teams (Privat) den Tresor um Passwörter zu verwalten?
Habe mir überlegt meine Eltern in ein Microsoft Teams Gruppenchat einzuladen und dann im Passworttresor die Passwörter abzuspeichern.
Oder gibt es ein anderes Programm wo man Passwörter bequem für die Familie verwalten kann und jeder darauf zugreifen kann?
 
Anzeige
Oben