Microsoft 365 Business Standard & 2FA

Computer: Software & Programmierung Software allgemein
#1

Hallo,

ich nutze Microsoft 365 Business Standard (also kein Microsoft-Konto nach der Nomenklatur von Microsoft), habe die 2FA mit der Authenticator-App von Google aktiviert, meine Mobilfunknummer hinterlegt und SMS als zweite Verifizierungsmethode eingerichtet. Da ich der Sache nicht traue, habe ich versucht, mich mit einem frisch installierten Browser in das Konto einzuloggen und siehe da: Login nur mit Passwort und Authenticator-App möglich. Was, wenn ich mein Smartphone verlöre und mit ihm die App? (Dass ich eine neue SIM-Karte bräuchte, ist nicht das Problem.)

  1. Würde ein Hardware-Token weiterhelfen? Ich könnte ihn natürlich kaufen und einrichten. Aber die Authentifizierungsmethode SMS habe ich ja auch hinterlegt, und sie funktioniert nicht.

  2. Meine Authenticator-App ist die von Google. Man kann die Daten offenbar in der Cloud sichern. Aber funktioniert das in der Praxis wirklich so, dass ich die Daten auf einem neuen Smartphone wiederherstellen könnte?

  3. Sollte ich die QR-Codes ausdrucken und an einem sicheren Ort hinterlegen? Würde mir das beim Verlust des Smartphones helfen?

  4. Habt ihr sonstige Tipps für mich?

Viele Grüße,
Pennywise

#2

Hast Du nochmal explizit nachgesehen, ob das SMS-Verfahren in den Nutzerdaten eingerichtet und aktiv ist?

Wird es dir beim LogIn als Auswahl angeboten, läuft dann aber auf einen Fehler? Wenn ja, bitte detailiert beschreiben.

Ich persönlich halte von diesen Tocken gar nichts. Führen die Meisten eh immer mit der Hardware mit. Der Schutz ist dann nicht besser als ohne 2FA.

#3

Dafür gibt es Backups.

Das ist ein Fehler. Wenn das Geheimnis (was als Basis für die Nummer verwendet wird) an Dritte bekannt wird, dann kannst du dir das alles sparen.
Google oder Microsoft sind bekannt dafür, solche Informationen ohne Rückfrage und zustimmen in die Firmenzentrale zu spiegeln. Nimm Aegis (Android) oder FreeOTP (iPhone). Das sind open source Programme ohne kommerzielle Interessen.
Bei beiden kannst du die Datenbank verschlüsselt exportieren und in deine Datensicherung aufnehmen.

Das ist eine fundamental schlechte Idee. Daten, die du der Cloud übergibst sind nicht mehr dir. Da kannst du auch dein Passwort veröffentlichen. Das Wiederherstellen auf einem neuem Phone funktioniert sicherlich ganz einfach. Aber wie willst du verhindern, dass deine Daten nur auf DEINEM neuen phone rückgesichert werden? Vielleicht kommt ja jemand an dein google-Konto oder google macht einen Fehler.

Sowas passiert andauernd. Microsoft hat mal einen Generalschlüssel für ihre gesamte Cloud verloren.

Ja, das kannst du machen. Mit deinem neuem Smartphone musst du dir dann nur noch scannen. Dann bist du wieder drin. Das ist auf jeden Fall besser als deine anderen Vorschläge.

#4

Ergänzung: FreeOTP gibt es auch für Android.