Ascannio – shutterstock.com
Microsofts Authenticator-App hat ein Alleinstellungsmerkmal: Das Device löscht alte Konten, wenn neue Konten per QR-Code hinzugefügt werden. Und das hat sich trotz jahrelanger Beschwerden von Nutzern immer noch nicht geändert.
Warum eigentlich Microsoft?
Deshalb fragen sich IT-Experten regelmäßig, warum man Microsofts Authenticator App überhaupt nutzen sollte.
Kurze Antwort: Es gibt keinen guten Grund. Wenn man über ein Dutzend Apps zum Thema Authentifizierung testen würde, darunter Optionen wie den Google Authenticator, Okta Confirm oder Salesforce Authenticator, wäre das Ergebnis eindeutig: Microsoft Authenticator macht es mit seiner Kontolöschen-Funktion einfach nur schlecht.
Regelmäßiger Gebrauch
Doch warum ist das eigentlich so schlimm? Grundsätzlich müssen Nutzerinnen und Nutzer mit zunehmendem Gebrauch der Multi-Faktor-Authentifizierung häufig mit Codes und Authentifizierungs-Apps hantieren.
Für diejenigen, die sich dabei auf Microsoft Authenticator verlassen, kann die damit verbundene Erfahrung schnell von einer vorübergehenden Frustration zu regelrechter Panik führen. Dies liegt daran, dass die App Consumer von ihren Konten aussperrt.
Die Technik dahinter
Der technische Hintergrund ist, dass Microsoft Authenticator aufgrund eines Issues mit den verwendeten Feldern häufig Konten überschreibt. Das geschieht genau dann, wenn ein Benutzer ein neues Konto per QR-Scan hinzufügt – eine Methode, die zunehmend beliebter wird.
So wie diese Sperre aber zustande kommt, ist es für die Betroffenen jedoch schwer zu erkennen, dass das Drawback beim Programm selber liegt. Stattdessen wird das Anwenderunternehmen, das die Authentifizierung durchführt, als Schuldiger ausgemacht. Das führt oft zu vielen vergeudeten Stunden im Helpdesk und viel Ärger.
Der Kern des Issues ist aber ein ganz anderer. Denn Microsoft Authenticator überschreibt ein Konto mit demselben Benutzernamen. Häufig werden E-Mail-Adressen als Nutzernamen verwendet. Somit benutzen die meisten Consumer über verschiedene Anwendungen hinweg denselben Nutzernamen. Google Authenticator und quick alle anderen Authenticator-Apps fügen dann den Namen des Ausstellers hinzu – zum Beispiel einer Financial institution oder einer Autofirma – um dieses Drawback zu vermeiden. Microsoft macht das jedoch nicht, sondern verwendet nur den Benutzernamen.
Doch damit nicht genug, denn beim Überschreiben durch Microsoft ist es nicht einfach festzustellen, welches Konto überschrieben wird. Dies kann zu Authentifizierungsproblemen sowohl mit dem neu erstellten Konto als auch mit dem überschriebenen Konto führen. Häufig merken die Benutzer erst dann, dass ein zuvor erstelltes Konto gelöscht wurde, wenn sie versuchen, es erneut zu verwenden.
Wie man das Drawback lösen kann
Das Drawback kann allerdings grundsätzlich umgangen werden:
- Am einfachsten ist es für Unternehmen, eine andere Authentifizierungs-App zu verwenden.
- Die Nichtverwendung der QR-Code-Scanfunktion und die manuelle Eingabe des Codes. Zumindest scheint das Drawback nicht aufzutreten, wenn die authentifizierten Konten zu Microsoft gehören.
Beides sind bewährte Lösungen, die Anwender nutzen, die seit Jahren mit den Authenticator-Komplikationen zu kämpfen haben. Das Drawback an sich besteht wohl schon seit der Veröffentlichung von Microsoft Authenticator im Jahr 2016. In größerem Umfang tauchten Beschwerden dann seit 2020 auf.
In einer solchen Beschwerde aus dem Jahr 2020 wurde die manuelle Eingabe der Informationen als Abhilfe erwähnt, aber als nicht praktikabel für Unternehmen verworfen. In dem Publish hieß es, dass man den geheimen Schlüssel des Identitätsanbieters verwenden und diesen während der Einrichtung manuell in die Authenticator-App eingeben könnte. Diese Lösung wurde allerdings auch zugleich als ” nicht sehr hilfreich” eingestuft. Dies begründete der Nutzer damit, dass der “durchschnittliche Endbenutzer kaum etwas über das Innenleben der Authentifizierung weiß und der Anblick einer zufälligen Zeichenfolge einschüchternd ist.”
Schuld sind die anderen
Microsoft bestätigte zwar das Drawback, sagte aber auch, dass es sich um ein Characteristic und nicht um einen Bug handele. Die Schuld liege ausschließlich bei den Nutzern oder den Unternehmen, die die App zur Authentifizierung verwendeten.
Microsoft gab gegenüber CSO On-line zwei Erklärungen ab:
In der ersten behauptete das Unternehmen, dass die Authentifizierungs-App wie vorgesehen funktioniere und Benutzer vor dem Überschreiben von Kontoeinstellungen eine Warnung erhielten. Die Warnmeldung allerdings ermutigt Benutzer, fortzufahren, wenn sie die Aktion selbst initiiert haben und die Quelle vertrauenswürdig ist-was in den meisten Fällen zutrifft. Dadurch könnten Benutzer dennoch ihre Konten unbeabsichtigt überschreiben, da die Nachricht keine klare Choice bietet, dies zu verhindern, außer den gesamten Authentifizierungsversuch abzubrechen.
Einige Tage nach der ersten Antwort gab Microsoft eine ausführlichere Erklärung ab, in der sie die Urheber der QR-Codes für das Drawback verantwortlich machte. Der Hersteller erklärte, dass einige Anbieter den Aussteller in der Kennzeichnung nicht angeben würden, was dazu führen könne, dass bestehende TOTP-Konten überschrieben werden. Microsoft betonte, dass Nutzer in solchen Fällen eine Aufforderung erhalten, das Überschreiben zu bestätigen oder abzulehnen. Am Ende deutete Microsoft an, dass man das Drawback in zukünftigen Versionen der Authenticator App berücksichtigen und ausbessern könnte.