diesUndDasMitTassen 🇺🇦GrapheneOS: Microsoft Authenticator unterstützt sicheres Android-OS nicht
Aus Sicherheitsgründen 🤭
Kein Microsoft, keine Probleme.
Marc Neitzner@Andreas_Sturm Naja, der MS Authenticator gehört sehr sicher nicht zu den APPs, die man unter #GrapheneOS installieren sollte. Da gibt es nun wirklich unzählige Alternativen. Wer dann trotzdem den MS Authenticator will, der kann eigentlich auch beim Stock Android bleiben ;-)
Helge 🤍
🇳🇴@hwe70 @Andreas_Sturm
Ich bin damals schon bei Android auf ente auth umgestiegen, als ich mitbekommen hatte dass MS beim Code Export seit Jahren blockt.
Jedenfalls funktionierte es bei mir nicht, und in einem Blog gesehen, dass der Fehler seit Jahren bestand.
Jetzt auf GrapheneOS ....
Dr. Victoria Grinberg@hwe70 @Andreas_Sturm ist halt blöd, wenn das zB für Arbeit notwendig ist, der Fall zB bei Unis.
semaphor@vicgrinberg
Ich brauchte das für die Arbeit eigentlich auch. Bis ich festgestellt habe das die 2FA für Microsoft auch per TOTP funktioniert. Das ist drin, damit eine Bestätigung auch ohne mobilnetz möglich ist.
Ich hab das umgestellt und konnte dann eine beliebige TOTP APP benutzen.
@hwe70 @Andreas_Sturm
Ich brauchte das für die Arbeit eigentlich auch. Bis ich festgestellt habe das die 2FA für Microsoft auch per TOTP funktioniert. Das ist drin, damit eine Bestätigung auch ohne mobilnetz möglich ist.
Ich hab das umgestellt und konnte dann eine beliebige TOTP APP benutzen.
@hwe70 @Andreas_Sturm
@vicgrinberg Ja, das stimmt. Irgendwo habe ich gelesen, daß der authenticator bei bestimmten MS Logins Pflicht ist, oder als Pflicht konfiguriert werden kann. Das macht dann ggf. die grapheneOS Nutzung schwieriger. Besonders, wenn Arbeitgeber*innen eine restriktive login policy mit "bring your own device" für 2FA koppeln 🤦 und dann das sicherste OS nicht genutzt werden kann 🙄
#microsoft #itsec #itsecurity #graphenos #totp #2fa #aegis #diday #DigitaleSouveränität
@Andreas_Sturm jup, genau das.
goebbe@Andreas_Sturm
@vicgrinberg
Wenn #2FA Verpflichtend ist kann man den MS Authenticator verwenden ODER einen der vielen Alternativen, die alle genau den gleichen #TOTP Standard umsetzen.
Ich nutze seit Jahren die #Aegis App für Microsoft, Google, betriebliche Anforderungen, Mail Proivider, gitlab usw.
Das klappt ohne Probleme. Der generierte Code ist identisch!
@vicgrinberg
Wenn #2FA Verpflichtend ist kann man den MS Authenticator verwenden ODER einen der vielen Alternativen, die alle genau den gleichen #TOTP Standard umsetzen.
Ich nutze seit Jahren die #Aegis App für Microsoft, Google, betriebliche Anforderungen, Mail Proivider, gitlab usw.
Das klappt ohne Probleme. Der generierte Code ist identisch!
@goebbe @Andreas_Sturm nicht, wenn die Arbeit MS Authenticator aufzwingt. Hängt halt davon ab, wie das aufgesetzt ist (meine sehr unschöne Lösung ist ein Arbeitshandy, ist aber halt mehr Elektroschrott).
@vicgrinberg
@Andreas_Sturm
Versteh ich nicht. Wenn der generierte TOTP Code exakt der gleiche ist, dann kann weder der Arbeitgeber noch Microsoft wissen, mit welcher Software der zweite Faktor generiert wurde, oder?
Ob Google Authendicator, MS Authendicator, Aegis oder .... alle berechnen den gleichen TOTP Code für 2FA.
Aber mir schwant gerade, dass der AG möglicherweise das "shared Secret" zentral aufs Handy spielen könnte, d.h. ohne QR-Code zum selber scannen und ohne Exportmöglichkeit.
@Andreas_Sturm
Versteh ich nicht. Wenn der generierte TOTP Code exakt der gleiche ist, dann kann weder der Arbeitgeber noch Microsoft wissen, mit welcher Software der zweite Faktor generiert wurde, oder?
Ob Google Authendicator, MS Authendicator, Aegis oder .... alle berechnen den gleichen TOTP Code für 2FA.
Aber mir schwant gerade, dass der AG möglicherweise das "shared Secret" zentral aufs Handy spielen könnte, d.h. ohne QR-Code zum selber scannen und ohne Exportmöglichkeit.
Expertenkommision Cyberunfall@expertenkommision_cyberunfall
@Andreas_Sturm @vicgrinberg
Ohjee, das ist mir zum Glück noch nie untergekommen.
@Andreas_Sturm @vicgrinberg
Ohjee, das ist mir zum Glück noch nie untergekommen.
Das scheint vielen hier so zu gehen.
Es gibt übrigens gute Gründe für diese Push-2FA.
@goebbe Du hast es selber geschrieben, aber m. E. nicht vollständig verstanden:
aegis kann totp und hotp aber m. E. kein MFA über X.509-Zertifikat und damit kann Microsoft m. M. grapheneOS User aussperren, wenn Entra certificate based zum Einsatz kommt.
@vicgrinberg Er ist in der MS Welt natürlich geschmeidiger einzusetzen als eine standard TOTP APP. Aber auch in der MS Welt hat man grundsätzlich die Möglichkeit, seinen Zugang auf TOTP oder eine andere 2FA Lösung umzustellen. Aber es hängt natürlich davon ab, welche Möglichkeiten einem die eigene IT einräumt. In der Regel sind aber schon unterschiedliche 2FA Lösungen freigeschaltet.
@hwe70 nope. Also nicht freigeschaltet bzw. gerne auch mit Unterschrift versichert, nur erlaubte apps zu benützen.
@vicgrinberg OK, in diesem Fall ist dann wohl wirklich das Ende der Fahnenstange erreicht. Kann man nur hoffen, dass sich die interne IT irgendwann bewegt. Zu meiner UNI Zeit war man da UNI typisch recht openminded. Aber zu der Zeit war Cybersecurity auch noch ein Fremdwort, der Browser hieß Mosaic und der Linux Kernel begann mit 0.9 ...
@hwe70 und Unis hatten eigene Mailserver ;)
@hwe70 Du hast nicht ganz verstanden worum es geht. Macht aber nix.
@Andreas_Sturm Den "Witz" versteht jeder, er macht bloß keinem Sinn ....
Jörg ZimmermannIch bin meinen ganzen zweiten Faktoren umgezogen auf ein selbst gehostetes 2fauth auf meinem lokalen truenas. Vorteil: Zugriff erfolgt über web und man ist nicht so am Arsch, wenn mal das Handy kaputt geht oder man mal wieder ein neues OS aufspielen will.