​

Mein Arbeitgeber lässt sich nicht davon abbringen, die M365-Konten so einzustellen, dass jedes Gerät, das sich nicht im Arbeitgebernetzwerk befindet, sich täglich neu authentisieren muss per Multifaktor-Authentisierung (MFA). Dies bedeutet normalerweise, dass nach der Passworteingabe auf dem Gerät ein zweistelliger Code angezeigt wird, der dann in der Authenticator-App des Smartphones eingetippt werden muss.

Ja, IT-Sicherheit ist wichtig und MFA ist mitunter sinnvoll. Böse Hacker sollen nicht mit meinem Passwort von irgendwoher auf einem anderen Gerät sich als mich ausgeben können. Aber täglich mehrfach, das nervt. Besitzt man nämlich drei Geräte (Notebook, Tablet, Smartphone), dann macht man das pro Tag mindestens drei Mal. "Es geht ja jeweils nur wenige Sekunden" liesse sich jetzt einwenden. Einerseits summieren sich die Sekunden, andererseits können sich die verschiedenen Re-Authentisierungen auch in die Quere kommen: Lehnt man dann ein ab, dann riskiert man nicht zu merken, dass jetzt einfach keine neue Mail reinkommt, denn weder Outlook noch Apple Mail weisen wirklich deutlich auf die gekappte Verbindung hin.

Was lässt sich tun?

Passkey einrichten (ohne Kostenfolge)

Das Einrichten eines Passkeys auf dem Smartphone lindert den Ärger gleich in zweierlei Hinsicht:

• Die Häufigkeit der Reauthentisierungen scheint abzunehmen, weil ein Passkey als sicherer eingestuft wird als das Abtippen der zwei Zahlen.
• Es müssen nicht mehr Zahlen abgetippt werden:
  • Auf dem Notebook muss ein QR-Code mit dem Handy erfasst werdne
  • Auf dem Handy reicht das Antippen von "Passkey verwenden"

Konkret lässt sich auf dem iPhone für das Microsoft-Konto ein Passkey installieren. Dadurch entfällt das Abtippen von Ziffern beim Anmelden von Apps auf dem iPhone selbst. (Der Passkey kann auch für das Anmelden auf dem Notebook verwendet werden, dazu muss dann auf dem Notebook ein QR-Code gescannt werden. Ähnlich mühsam wie das Abtippen von zwei Ziffern).

USB Hardwaretoken kaufen (mit Kostenfolge)

Für einen Notebook unter Windows (10 oder 11) bietet sich auch der Kauf eines USB-Hardwaretokens an. Dieser USB-Stick gilt als zweiter Faktor und ersetzt das Smartphone. Der Passkey wird auf diesen USB-Stick gespeichert. Wenn Microsoft den Passkey auslesen will, muss das Token mit dem Finger berührt werden und gibt daraufhin den Passkey weiter. Ein Smartphone wird dann nicht mehr benötigt.

Der Yubikey nano für USB A (CHF 69.-) verschwindet praktisch in der USB-Steckdose:

Sparpotenzial

Abgesehen vom Ärger und Unterbruch des Flows beim Arbeiten amortisiert sich ein solcher Hardwarekey innherhalb eines Jahres bei weitem, selbst bei einem Stundenlohne von CHF 25.- und wenn man nicht mal die eingesparte Zeit durch schnelleres Authentisieren berücksichtigt, sondern nur das seltenere Authentisieren: