Microsoft will bestehende Kunden dazu bringen, Multi-Faktor-Authentifizierung (MFA) für Accounts zu aktivieren. Entscheidet man sich dafür, sind Konten effektiver vor Attacken abgesichert. Zum Anmelden muss ein Angreifer neben dem Passwort auch im Besitz des zweiten Faktors sein, um sich anmelden zu können.
Admins, die die MFA-Funktion namens „Security Defaults“ noch nicht aktiviert haben, werden bei der Anmeldung ab sofort darauf hingewiesen, das zu tun. Entscheiden sie sich dafür, müssen alle Mitarbeiter ihre Konten auf das Anmeldeverfahren umstellen. Dafür haben sie 14 Tage Zeit.
Die Umstellung gelingt etwa mit der Microsoft Authenticator App, die MFA-Codes erzeugt. Im Anschluss können sie sich nur noch mit ihrem Passwort und einem MFA-Code anmelden. Microsoft zufolge wissen viele Unternehmen gar nicht, dass es diese sicherere Anmeldeform überhaupt gibt.
Die Aktivierung ist nicht verpflichtend, geht aus einem Beitrag das Hard- und Softwareentwicklers hervor. Admins können die Security-Defaults-Option in den Azure-AD-Einstellungen oder im Microsoft-365-Admin-Center deaktivieren.
Das sollte man aber nicht tun, da der minimale Mehraufwand mit dem zusätzlichen Code bei der Anmeldung einen immensen Sicherheitsgewinn mit sich bringt. In so einem Fall laufen insbesondere Wörterbuch-Attacken, bei denen Angreifer riesige Listen mit geleakten Passwörtern auf Accounts loslassen, ins Leere. Schließlich stehen da keine MFA-Codes drin.
Microsoft gibt an, dass sie MFA mit dem Rollout von Security Defaults nun für 60 Millionen Accounts anbieten. Für Kunden, die nach Oktober 2019 einen Account erstellt haben, sollte MFA schon automatisch aktiv sein.