Outlook.com: Standardauthentifizierung ab dem 16. September nicht mehr möglich
von caschy | 38 Kommentare
Die kleine Erinnerung: Moderne Authentifizierungsmethoden, sprich: OAuth2, sind ab September erforderlich, um die Synchronisierung von Outlook-E-Mails in Nicht-Microsoft-E-Mail-Apps fortzusetzen. Viele Programme nutzen eine einfache Methode zur Anmeldung bei Servern und Diensten, die Standardauthentifizierung genannt wird. Dabei werden bei jeder Anfrage der Benutzername und das Kennwort gesendet.
Diese Daten werden oft auf dem Gerät des Benutzers gespeichert. Diese Methode ist auf den meisten Servern voreingestellt und leicht einzurichten. Obwohl sie lange Zeit üblich war, ist sie unsicher, weil Angreifer die Anmeldeinformationen leicht abfangen können. Dadurch besteht die Gefahr, dass gestohlene Daten für andere Dienste verwendet werden. Viele Dienste haben deswegen schon vor längerer Zeit die modernen Anmeldungsmethoden eingeführt.
Inhaber eines Outlook.com-Kontos, das die Standardauthentifizierung aktiv verwendet, wurden über die Änderungen bereits Ende Juni informiert. Bis zum 16. September können Benutzer, die sich über die Standardauthentifizierung bei Outlook.com anmelden, in Outlook und anderen E-Mail-Anwendungen von Drittanbietern wiederholte Kennwortaufforderungen auftreten. Dies ist ein bekanntes Problem. Nach dem 16. September können Benutzer, die versuchen, ihre Microsoft-Konten über die Standardauthentifizierung zu verbinden, dies nicht mehr tun. Solltet ihr also auf alte Art und Weise euer Outlook.com-Konto eingebunden haben, dann denkt an die baldige Umstellung, Microsoft hat bereits eine Hilfeseite eingerichtet, die die Umstellung u. a. für Thunderbird, Outlook und Apple Mail erklärt.
Die folgenden Versionen von Outlook Desktop unterstützen die moderne Authentifizierung für Outlook.com nicht: Outlook 2007, Outlook 2010, Outlook 2013, Outlook 2016 MSI, Outlook 2019 LTSC. Jede Version von Outlook Desktop mit einer Version kleiner als 11601.10000 unterstützt die moderne Authentifizierung für Outlook.com nicht.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Hier der Link zur Anleitung https://support.microsoft.com/de-de/office/moderne-authentifizierungsmethoden-sind-jetzt-erforderlich-um-die-synchronisierung-von-outlook-e-mails-in-nicht-microsoft-e-mail-apps-fortzusetzen-c5d65390-9676-4763-b41f-d7986499a90d
Aber Microsoft speichert die Passwörter nicht nur lokal sondern auf ihren cloud Servern im neuen Outlook zu den eingerichteten email Accounts. Genau mein Humor. Ich bleibe bei Apple Mail Client.
Ich glaube du verwelchselst da was. Es geht hier um @outlook.com E-Mail Konten, die du beispielsweise mit deiner Apple Mail App oder mit Thunderbird abrufst. Sprich, dein Apple Mail Client ist genauso betroffen, der hilft dir da nix 😉
Im Apple Mail Client kann man auch OAuth2 für Outlook einrichten. Im Link steht wie. Ich werde mit Sicherheit nicht auf Outlook App umsteigen wegen diesem Problem mit allen meinen Mail Konten und so Microsoft Zugriff auf meine emails geben. Microsoft speichert in Outlook App ja die Zugangsdaten in der Cloud.
Hauptsache bashing ohne zu verstehen worum es hier geht.
Zum Glück hab ich noch Outlook XP, scheint ja nicht betroffen zu sein :D.
a) Es betrifft _alle_ Clients, selbstverständlich ist Outlook XP (sogar weit eher) betroffen, soweit Sie Mails von outlook.com abrufen
b) Ich betreibe auch ein altes Office (immerhin schon 2016), man sollte sich aber der Verwundbarkeiten wegen nach EOL ungepatcht gebliebener Lücken bewusst sein, tun Sie sich also den Gefallen und packen es wenigstens in eine Sandbox.
Sehr gut. Das ist für die Sicherheit unerlässlich. Ich habe schon vor einiger Zeit umgestellt.
„für die Sicherheit unerlässlich“ ist halt auch so eine Phrase, mit der man sich gleich als Normie outet. 😀
Sicherheit ist ja nicht boolean und auch nicht universell. Ein Zugewinn an dem was wir als Sicherheit in einer Dimension verstehen kann oft ein Verlust an Sicherheit in einer anderen Dimension bedeuten, etc.
In diesem konkreten Fall setzt man sich z.B. stärkerer Kontrolle durch das MS Ökosystem aus. Im Grunde ist’s eine neue Reihe Steine in dem Wall der langsam zum walled garden wird.
Das kann man gut finden oder das kann man nicht gut finden. … aber es ist natürlich nicht „für die Sicherheit unerlässlich“. 😀
Ich schätze, du hast da etwas um mindestens eine Dimension falsch verstanden…
Okay Schätzchen 😀
Wenn man hier ++ drücken könnte, hätte ich es jetzt gemacht :-)!
Kein Microsoft Mail, kein Problem xD
Es geht hier um das Problem der unsicheren vs. sicheren Authentifizierung bei Outlook.com
Ne, ne, er liegt schon richtig, bin auch am überlegen ganz auf Outlook.com Mail zu verzichten. Problem gelöst!
Der folgende Satz sollte zur besseren Verständlichkeit bitte noch einmal überarbeitet werden: „Bis zum 16. September können Benutzer, die sich über die Standardauthentifizierung bei Outlook.com anmelden, in Outlook und anderen E-Mail-Anwendungen von Drittanbietern wiederholte Kennwortaufforderungen auftreten.“
Gemeint ist sicherlich, dass Benutzer der Standardauthentifizierung zur wiederholten Eingabe des Kennworts aufgefordert werden können, oder?
OAuth2 ist doch was gutes. Die uralte Kombo aus Anmeldename und Passwort entspricht nunmal aus heutiger Sicht einfach nicht mehr den aktuellen Basis-Sicherheitsanforderungen. Gibt ja nicht umsonst für alle wichtigen Konten 2FA.
Erklär mir mal bitte jemand, wieso er oder sie sich weigert auf OAuth umzustellen bzw strikt dagegen ist bei E-Mail Konten.
Leider gibt es immer noch einige Software die nur klassisch über User/Passwort per IMAP verschicken kann.
Da oAuth2 auch für 365-Zugänge die Zwangsumstellung angekündigt wird bleiben ein paar Möglichkeiten:
– Umstellung auf z.B. Mailgun als Sender
– Wechsel der Software (was wohl in vielen Fällen ausscheidet)
– Nutzung von MS HVE (Kostet natürlich nach der Preview etwas)
– SMTP-Relay von MS (Kostet natürlich eine entsprechende Windows-Lizenz und einen dauerhaft laufenden Rechner.)
IMAP ist natürlich Blödsinn. SMTP war gemeint. Die Hitze tut mir offenbar nicht so gut. 😉
Es nähme mich schon sehr wunder, wenn das nur SMTP beträfe, mMn wird man alle Zugriffe (SMTP, IMAP, POP3, ???) umstellen.
Ob jetzt Passwörter weg sind oder der OAuth2 Token. Wo ist da der Unterschied?
Der OAuth2 Token hat eine eng begrenzte Zeitspanne, in der er funktioniert – im Gegensatz zum Nutzernamen/ Passwort.
Das Client Secret bei OAuth ist natürlich dauerhaft gültig, das wird aber nicht übertragen und kann daher auch nicht abgefangen werden.
Es macht dich abhängig von dem Gerät mit dem du authentifizierst. Die Masse wird da keine Sicherung haben, so wie sich fast niemand den Bitlockerkode von Windows notiert.
Sollte man sich aber den alphanumerischen Kode notieren, dann hat man einfach „Anmeldename und Passwort“ plus ein weiteres Passwort, mit allen Vor- und Nachteilen, die man ohne auch hätte.
Auf dem iPad Pro und dem iPhone habe ich Outlook schon gelöscht, da trotz Abo ständig Werbung eingeblendet wurde. Auf dem MacBook werde ich es auch noch runter werfen. Das Office 365 Family Abo werde ich vorerst noch weiter nutzen.
Auf dem Mac wird leider alles von Office/Outlook installiert, da gibt’s keine Auswahlmöglichkeit wie unter Windows, oder hat sich das mittlerweile geändert?
Leider nicht. Ich habe daher die Apps wie Outlook usw., die ich nicht benötige, ganz klassisch nach der Installation via Delete aus dem Programmordner entfernt.
Es gibt zwar laut Suspicious Package ein paar Framework-Dateien, die durch das Installer Package eventuell zu viel installiert werden, aber diese liegen im KB-Bereich. Der Hauptteil ist in den Programm-Paketen und auch das Auto-Update begreift, dass die Apps nicht mehr existieren.
Falls die Apps bereits gestartet wurden, könnten eventuell Dinge im Library-Ordner hängen bleiben oder man verwendet halt den AppCleaner.
Na ja, inzwischen gehen mir die Sicherheitsvorkehrungen dermaßen auf die Nerven, dass ich lieber auf die Dienste verzichte. Muss jeder selber wissen…
Geht mir ähnlich. Nur gibt es viele Dienste – auch wichtige – die man ohne äußerst lästige – Zusatzidentifikationen nicht nutzen kann. Am lästigsten finde ich diese Fixierung auf bestimmte Geräte. Natürlich nutze ich eine ganze Reihe von Geräten und Apps für Internetzugriffe aller Art, und es gibt ständig paranoide Mails oder Nachrichten von Google, Proton oder Amazon, weil ich mal wieder ein Gerät benutzt habe, das sie angeblich nicht kennen.
„ständig paranoide Mails oder Nachrichten von Google, Proton oder Amazon, weil ich mal wieder ein Gerät benutzt habe, das sie angeblich nicht kennen“
Stimmt, macht immer wieder mächtig Spass, wenn Google ein neues Pixel Smartphone erkannt hat – blöd nur, dass es genau das selbe ist wie schon vorher! Ok, ich hatte ein anderes Smartphone vorher für rund 6 Jahre (OnePlus 6) – aber schön langsam sollte Google gemerkt haben, dass ich nun ein Pixel 7pro nutze (ja eh erst seit ~1,5 Jahren)
Amazon scheint auch so Probleme mit dem Wechsel von Geräte zu haben – da treten ähnliche Fehler auf.
Eigentlich scheine nahezu alle diese Firmen an extremer Vergesslichkeit aka IT-Demenz zu leiden!
Das sind keine „paranoiden Mails“, sondern Mitteilungen.
Wenn einem der Account(inhalt) völlig egal ist kann man darauf natürlich drauf verzichten, aber obwohl es auch mich nervt behalte ich es auch da bei, wo es abschaltbar ist: Ich wollte es dann schon wissen, wenn jemand es schafft, in mein Konto einzubrechen. Je eher ich es weiss um so kleiner bleibt der Schaden.
BTW: idR merkt sich der Anbieter über Cookies, welches Gerät er schon kennt. Schauen Sie doch mal, ob sie einen Cookiecleaner o.Ä. betreiben, der da hineinpfuscht.
Mir auch. Jedoch möchte ich auch nicht auf alle Dienste und die zusätzliche Sicherheitsdecke verzichten.
Man kann ja easy ne Weiterleitung einrichten, wenn die Mailadresse eh nur „sporadisch“ verwendet wird.
Bei mir senden alle Maildienste die Mails an eine Produktivmail weiter.
Da ich keinerlei Ahnung von OAUTH2 habe, habe ich das mal in Startpage eingegeben und ein paar Artikel dazu gelesen. Nichts davon war auch nur annähernd verständlich bzw. behandelte, die Fragen, die mir beim Lesen durch den Kopf gingen – vor allem: Welche konkreten Folgen hat dieses Verfahren für meinen Umgang mit E-Mails oder sonstigen Anmeldungen? Muss ich statt meiner Standardanmeldung mehrere Schritte für die Anmeldung durchführen? Muss ich immer ein bestimmtes meiner Geräte griffbereit haben, damit ich ev. Freigaben erteilen kann? Gibt es einen „Dritten“, der im Rahmen des Verfahrens vertrauliche Daten von mir speichert?
Kurz gesagt wirst du für den Zugriff (z.B. auf eine Webseite oder eine App) auf die Seite eines Providers (z.B. Google, Yahoo, Microsoft, usw.) umgeleitet – und bei dem darfst du dich dann (nochmals) einloggen. Meist erfolgt dann dieser Login „sicher“ per 2FA = „Authenticator“-App oder ähnliches. (wie sicher tatsächlich so einige der Authenticator-Apps sind darf sich jeder per Suche im Web ansehen ;-))
Ganz kurz gesagt wird versucht die Login-Sicherheit zu erhöhen, indem ein „Aussteller“ (Provider) als weitere Source des Zugangskontrolle benutzt wird. Das Ganze verwirrende Token, Consumer Key, Callback URl usw. erspare ich mir – das braucht man nur wenn man das implementiert….
> Welche konkreten Folgen hat dieses Verfahren für meinen Umgang mit E-Mails oder sonstigen Anmeldungen?
Viele Open Source E-Mail-Clients werden nicht mehr funktionieren.
Man wird eine propriätere Software brauchen, um Mails von Outlook.com abrufen zu können.
Alternativ könnte man einen Proxy für Mails einrichten.
Zumindest so war es vor zwei Jahren, wenn man OAuth2 anstatt App-Passwords benutzen wollte.
Zum Glück bin ich nicht mehr unter Linux, und unter Windows und MacOS geht es problemlos mit den nativen Mail-Apps.
Also ich habe von Microsoft bei keinem meiner 3 Konten eine E-Mail bekommen das hier etwas umgestellt wird. Würde dann ja auch mal pfiffig sein sich z.B. bei Anmeldung über die Weboberfläche nochmal einen Hinweis aufploppen zu lassen dass man das bald umstellt.
Und was passiert nach dem Stichtag? Logt man sich dann ein und wird über einen Assistenten gelotst der einem das dann einrichtet?
Am Stichtag ist keine Anmeldung mehr mit Benutzername und Kennwort am Outlook.com Postfach möglich.
outlook.de auch hiervon betroffen?
Ich habe leider unterschiedliche Informationen im Internet gefunden.
Weiß jemand ganz genau ob die normale Outlook 2019 Retail Version OAuth2 unterstützt?
Ich habe gestern mal zum Test ein neues Outlook.com E-Mail Konto als IMAP Konto mit Outlook 2019 eingerichtet, aber ich habe keine Option gefunden OAuth2 zu aktivieren.
Das ist das Problem. Niemand hat etwas dagegen, wenn MS zu einem fortschrittlicheren, sicheren Verfahren wechselt. Sie müssten halt nur sicherstellen, dass User, die in der Vergangenheit Geld für MS-Office-Pakete ausgegeben haben, diese auch weiter nutzen könnten. Statt dessen präsentiert man eine Liste von Outlook-Versionen, die nicht auf „OAuth2“ umgestellt werden und empfiehlt den Erwerb von „Office365“, möglichst mit monatlicher Zahlung(Abo). Na hoffentlich funktioniert das Ganze mit Thunderbird, welches dieses „OAuth2“ unterstützt. Dann: Tschüss Outlook 2019!