MFA-Ärger lindern

Worum geht es?

Mein Arbeitgeber lässt sich nicht davon abbringen, die M365-Konten so einzustellen, dass jedes Gerät, das sich nicht im Arbeitgebernetzwerk befindet, sich täglich neu authentisieren muss per MFA. Dies bedeutet normalerweise, dass nach der Passworteingabe auf dem Gerät ein zweistelliger Code angezeigt wird, der dann in der Authenticator-App des Smartphones eingetippt werden muss.

Besitzt man drei Geräte (Notebook, Tablet, Smartphone), dann macht man das pro Tag mindestens drei Mal. "Es geht ja jeweils nur wenige Sekunden" liesse sich jetzt einwenden. Einerseits summieren sich die Sekunden, andererseits können sich die verschiedenen Re-Authentisierungen auch in die Quere kommen: Lehnt man dann ein ab, dann riskiert man nicht zu merken, dass jetzt einfach keine neue Mail reinkommt, denn weder Outlook noch Apple Mail weisen wirklich deutlich auf die gekappte Verbindung hin.

Was lässt sich tun?

Passkey einrichten (ohne Kostenfolge)

Das Einrichten eines Passkeys auf dem Smartphone lindert den Ärger gleich in zweierlei Hinsicht:

• Die Häufigkeit der Reauthentisierungen scheint abzunehmen, weil ein Passkey als sicherer eingestuft wird als das Abtippen der zwei Zahlen.
• Es müssen nicht mehr Zahlen abgetippt werden:
  • Auf dem Notebook muss ein QR-Code mit dem Handy erfasst werdne
  • Auf dem Handy reicht das Antippen von "Passkey verwenden"

Konkret lässt sich auf dem iPhone für das Microsoft-Konto ein Passkey installieren. Dadurch entfällt das Abtippen von Ziffern beim Anmelden von Apps auf dem iPhone selbst. (Der Passkey kann auch für das Anmelden auf dem Notebook verwendet werden, dazu muss dann auf dem Notebook ein QR-Code gescannt werden. Ähnlich mühsam wie das Abtippen von zwei Ziffern).

USB Hardwaretoken kaufen (mit Kostenfolge)

Für einen Notebook unter Windows (10 oder 11) bietet sich auch der Kauf eines USB-Hardwaretokens an. Dieser USB-Stick gilt als zweiter Faktor und ersetzt das Smartphone. Der Passkey wird auf diesen USB-Stick gespeichert. Wenn Microsoft den Passkey auslesen will, muss das Token mit dem Finger berührt werden und gibt daraufhin den Passkey weiter. Ein Smartphone wird dann nicht mehr benötigt.

Der Yubikey nano für USB A (CHF 69.-) verschwindet praktisch in der USB-Steckdose:

Protokoll Notebook-Authentisierungen

Datum & Zeit	Ort	Aktivität auf dem Notebook
08.04.26 14:30	Home	Yubikey Nano 5 installiert und kurz drauf Outlook damit authentisiert
12.04.26 09:36	Home	Outlook verlangt MFA: 1. Eingabe Passwort, 2. Eingabe Pin von Yubikey, 3. Berühren Yubikey
12.04.26 16:26	Home	Abacus verlangt MFA: 1. Eingabe Passwort, 2. Eingabe Pin von Yubikey, 3. Berühren Yubikey
16.04.26 10:10	Home	Outlook verlangt MFA: 1. Eingabe Passwort, 2. Eingabe Pin von Yubikey, 3. Berühren Yubikey
19.04.26 13:30	Home	Outlook verlangt MFA: 1. Eingabe Passwort, 2. Eingabe Pin von Yubikey, 3. Berühren Yubikey
23.04.26 11:13	Home	Abacus verlangt MFA: 1. Eingabe Passwort, 2. Eingabe Pin von Yubikey, 3. Berühren Yubikey

Protokoll iPhone-Authentisierungen

Datum & Zeit	Ort	Aktivität auf dem iPhone
12.04.26 14:37	Home	Authentisierung mit Passwort und Passkey
16.04.26 20:23	Home	Authentisierung mit Passwort und Passkey
19.04.26 20:47	Home	Authentisierung mit Passwort und Passkey
23.04.26 12:10	Home	Authentisierung mit Passwort und Passkey

Protokoll iPad-Authentisierungen

Datum & Zeit	Ort	Aktivität auf dem iPad
12.04.26 18:04	Home	Authentisierung mit Passwort und Passkey
16.04.26	Home	Authentisierung mit Passwort und Passkey

Sparpotenzial

Abgesehen vom Ärger und Unterbruch der Gedanken beim Arbeiten amortisiert ein solcher Hardwarekey innherhalb eines Jahres, selbst bei einem Stundenlohne von CHF 25.- :

Stundenlohn	25	CHF
Dauer MFA	1	min
Kosten MFA 1x	0.4167	CHF
Kosten MFA jährlich (täglich)	152.08	CHF
Kosten MFA jährlich (alle 4 Tage)	38.021	CHF
Ersparnis durch Key	114.06	CHF