Technik

Microsoft Authenticator überschreibt MFA Accounts und sperrt User aus

Schlagworte:

Zwei-Faktor-Authentifizierung (2FA oder auch MFA für Multi-Faktor-Authentifizierung) ist keine neue Sache, aber in letzter Zeit findet sie verstärkten Einsatz für das Login auf Webseiten. Dabei trat bei einem Kunden kürzlich das Problem auf, dass User sich plötzlich auf der Seite nicht mehr einloggen konnten. Der Grund: Microsofts Authenticator-App überschreibt in bestimmten Fällen bestehende Accounts.

Das führt dazu, dass User den Zugang zu ihren Multi-Faktor-Authentifizierung (MFA)-Konten verlieren. Das Problem tritt auf, wenn User ein neues Konto über einen QR-Code hinzufügen, wobei Microsoft Authenticator bestehende Konten überschreibt, wenn der gleiche Benutzername verwendet wird. Da häufig E-Mail-Adressen als Benutzernamen dienen, kommt es vor, dass mehrere Konten denselben Benutzernamen haben.

Technisch gesehen besteht der Fehler darin, dass Microsoft Authenticator beim Hinzufügen eines neuen Kontos nur den Benutzernamen speichert, ohne den Namen des Anbieters oder Dienstes (z.B. den Namen der Webseite) hinzuzufügen. Dies führt dazu, dass ein neues Konto mit dem gleichen Benutzernamen ein bereits existierendes Konto überschreibt. Andere Authenticator-Apps wie Google Authenticator, Okta, und Duo Mobile vermeiden dieses Problem, indem sie zusätzlich zum Benutzernamen auch den Namen des Dienstanbieters speichern und so stets eindeutige Einträge erstellen.

Das Problem wird noch dadurch verschärft, dass der User nicht immer sofort bemerkt, dass ein Konto überschrieben wurde. Oft fällt dies erst dann auf, wenn der User das betroffene Konto erneut nutzen möchte, was zu großen Problemen und unnötigem Aufwand für den IT-Support führt.

Obwohl Beschwerden über dieses Problem seit 2020 dokumentiert sind, hat Microsoft bisher noch keine Lösung angeboten. Microsoft selbst betrachtet dies nicht als Fehler, sondern als eine beabsichtigte Funktion (It's not a bug, it's a feature). Das Unternehmen gibt an, dass die User vor dem Überschreiben eines Kontos gewarnt werden, jedoch ist die Warnung missverständlich und bietet keine einfache Möglichkeit, den Vorgang abzubrechen, außer das Hinzufügen des neuen Kontos vollständig abzubrechen - was auch nicht zielführend ist.

Wir empfehlen daher - soweit im Unternehmen zulässig - andere Authenticator-Apps zu verwenden, die dieses Problem nicht haben. Falls dies nicht möglich ist, gibt es einen Work-Around: Statt den QR-Code einzuscannen, kann man den Code auch manuell eingeben. Das verhindert das Überschreiben von bestehenden Konten.