Zur Navigation Zur Suche Zum Inhalt
Kontakt

MFA Number Matching

Reto Gobat
MFA Vorlage 1200 x 600 px (1)

«Number Matching» ab dem 8. Mai 2023

Ab dem 8. Mai 2023 (das Datum für die Änderung wurde von Microsoft verschoben) wird für alle Azure MFA (Multi-factor authentication) Kunden eine neue Sicherheitsfunktion, die als «Number Matching» bezeichnet wird, ausgerollt. Diese Funktion wird standardmässig für alle Organisationen aktiviert, die Microsoft Authenticator in Kombination mit Push-Notifications nutzen.

Die «Number Matching»-Funktion dient als Schutz vor versehentlichen Zustimmungen durch Benutzer und «MFA-Ermüdungs»-Angriffen. Laut Microsoft klicken etwas ein Prozent aller Benutzer auf alle Mitteilungen auf ihrem Smartphone, so auch auf eine Push-Notification von der Microsoft Authenticator App. Diese Benutzer werden als versehentliche Zustimmungsbenutzer bezeichnet.

Sobald dieses Feature aktiviert wird, hat dies einen Einfluss auf Administratoren und Endbenutzer.

Administratoren:

  • Die NPS (Network Policy Server) Extension, welche RADIUS Flows mit einer Azure MFA Challenge erweitert, muss aktualisiert und je nach Anforderungen der Unternehmung mit einem Registry Key konfiguriert werden. Weitere Infos: Use number matching in multifactor authentication (MFA) notifications - Azure Active Directory - Microsoft Entra | Microsoft Learn
  • AD FS Adapter: Bei der Nutzung von AD FS (Active Directory Federation Services) muss die Version aktualisiert werden, um mit «Number Matching» Kompatibel zu sein.
  • Rollende Aktivierung: Microsoft aktiviert das «Number Matching» rollend, was bei Benutzern in der gleichen Unternehmung zu unterschiedlichem Verhalten führen kann. Daher wird empfohlen das Feature auf ein Datum vor dem 8. Mai 2023 zu aktivieren.

Endbenutzer:

  • Die Push-Notification auf dem Smartphone sieht anders aus und muss mittels zweistelliger Nummer bestätigt werden.
    MFA Abfrage Beispiel
  • Beim SSPR (Self-service password reset) wird ebenfalls die Bestätigung einer zweistelligen Nummer verlangt.
  • Smartwatches können (Stand heute) nicht mehr für das Bestätigen von MFA-Anforderungen genutzt werden.

MFA-Ermüdungsangriffe sind eine Taktik von Angreifern, nachdem sie das Passwort eines Benutzers erhalten haben. Da die Angreifer durch die sekundäre Authentifizierungsmethode geblockt werden, senden sie wiederholt Anforderungen zur Zustimmung für den zweiten Authentifizierungsfaktor an das Opfer, bis eine davon verwendet wird. Die «Number Matching»-Sicherheitsfunktion erhöht die Visibilität für MFA-Ermüdungsangriffe, indem sie den Endbenutzer auffordert, eine zweistellige Nummer einzugeben, um den Zugriffsantrag zu genehmigen.

Darüber hinaus bietet Microsoft mit seiner Authenticator App zusätzliche Kontextinformationen bei einer Push-Benachrichtigung an. Neu können die anfragende Applikation und der Ort der Anfrage mit gesendet werden, was dem Benutzer hilft, die Anfrage einzuordnen.

Abfrage Location und Applikation

Auf andere MFA Verfahren wie SMS, FIDO security key, OTP (one time password) hat diese Änderung keinen Einfluss.