Outlook-Konten: Basis-Authentifizierung wird abgeschafft
von Felix Frank | 15 Kommentare
Mail: Symbolfoto
Microsoft ist logischerweise bestrebt, für seine Mailing-Lösung Outlook neben Funktionalität und Benutzerfreundlichkeit auch diverse Sicherheiten für das Produkt sicherzustellen. Da geht es beispielsweise um den Schutz vor unbefugtem Zugriff, Manipulation oder Verlust von E-Mails, Dokumenten sowie Kalender und Kontakte.
Bislang war es für persönliche E-Mail-Konten (z. B. Outlook.com, Hotmail.com, Live.com) möglich, auf eine Basis-Authentifizierung zu setzen. Sprich, mit Benutzername und Kennwort. Das wird man ab dem 16. September 2024 nicht mehr unterstützen. Stattdessen müssen (alle Outlook-) Benutzer ab dann auf moderne Authentifizierungsmethoden umstellen. Damit wolle man die Sicherheit der persönlichen Konten gewährleisten. Die Verpflichtung einer modernen Authentifizierungsmethode gilt für alle Nutzer eines Microsoft-E-Mail-Kontos, einer E-Mail- oder Kalenderanwendung oder der Outlook.com-Website. Unterstützt werden die neuesten Versionen von Outlook, Apple Mail oder auch Thunderbird. Die moderne Authentifizierung ist mit der kostenlosen Outlook-Apps für iOS, Android, Outlook für Mac oder Outlook für Windows sichergestellt.
- MIT DER POWER DES M2 – Mit dem Chip der nächsten Generation kannst du in weniger Zeit mehr schaffen. Von aufwendigen Präsentationen bis...
- ANSCHLÜSSE FÜR ALLES, WAS DU WILLST – Der Mac mini mit M2 Chip hat zwei Thunderbolt 4 Anschlüsse, zwei USB-A Anschlüsse, einen HDMI...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Hier wird gleich sehr viel auf einmal konsolidiert. Das beendet einerseits den Zoo an angebotenen Lösungen (weniger Entwicklungs- und Wartungsaufwand durch Vereinheitlichung) und gleichzeitig erhöht es die Sicherheit (z.B. zwingend 2FA). Vermutlich wird in den nächsten Tagen die nächste Entlassungsrunde eingeläutet? Da müssten ja einige Teams weniger zu tun haben…
Das hat nichts mit 2FA zu tun. Es geht um die Anmeldung via POP3/IMAP und SMTP.
Heißt das hier jetzt, dass ich K9 Mail nicht mehr nutzen kann?
Es geht dabei um die Anmeldung mit POP3/IMAP-Clients, z. B. Thunderbird, Apple-Mail und nicht um die Anmeldung auf der Weboberfläche.
Es sind diese ständigen Neuerungen und Umbauten bei Microsoft, die nerven. Diese Unruhe.
Hier wird etwas eingeführt, woanders entfernt, da umbenannt.
Wie sollte ein Benutzername + xx-stelliges Kennwort per se unsicher sein, wenn diese Zugangsdaten geschützt sind? Künftig benötigt man ein weiteres Gerät, der Zugang für einen selbst wird komplizierter, für alle anderen ändert sich nichts.
„Damit wolle man die Sicherheit der persönlichen Konten gewährleisten.“ – Gibt es auch unpersönliche Konten? Frage.
Guck bitte mal wie oft Google sein Bezahldienst umbenannt hat.
G Pay, Google Wallet, Android Pay, Google Pay, G Send Pay und noch viele mehr. Ich blicke da nicht mehr durch. Angeblich heißt es jetzt wieder Google Wallet Pay?
Der Vorposter hat gar nicht über Google gesprochen. Nicht jede Kritik an Megacorp A ist eine Werbung für Megacorp B. 😀
Diese Zwangsbeglückung mit 2FA an etlichen Stellen geht mir auch sehr gegen den Strich. Ich verwende 5, manchmal 6 Geräte, um auf meine E-Mails zuzugreifen – was immer ich gerade in der Hand oder auf dem Tisch vor mir habe. Aber nein – demnächst müsste ich dann immer auch mein Schlaufon durch die Wohnung tragen, damit ich die ständige 2FA bedienen könnte.
Bei einem einmal mit 2FA eingerichteten Gerät sollte die Abfrage nicht mehr kommen.
Habe aber bei meinem Anbieter entdeckt, dass bei Desktop-E-Mail-Programmen kein 2FA verlangt wird – eine Sicherheitslücke?
Wenn 2FA da gehen würde wäre schön, ich hab mich da anfangs auch gewundert. Das hat wohl irgendeinen technischen Grund.
Bei GMX z. b. kann man aber stattdessen „App-Spezifische Passwörter“ aktivieren. Dann musst bei TB und co. zumindest dein echtes E-Mail Passwort eingeben bzw. kann es da nicht mehr abgegriffen werden. Das ist dann auch nur für diese eine App Gültig.
Das Framing mit den ‚Sicherheiten für das Produkt‘ ist vollkommen unangebracht, egal was in der Prressemiteilung steht. Ich denke, Microsofts Verständnis von IT-Sicherheit wurde von ihnen mehr als ausreichend demonstriert. Sei es dem Master-Schlüssel, den sie sich haben bei einem kompromittieren lassen und wo sie Nebelkerzen geschmissen haben, als es rauskam, oder der bei der neuesten Funktion namens Recall oder den dutzenden von anderen Beispielen.
Und generell gilt auch bei dieser neuesten Zwangserrungenschaft: Selbst Schuld, wer sich so gängeln lässt.
Frisch reingekommen: https://haunted.computer/@chompie1337/112601054230508310
Das muss dieses „Security First“ von Microsoft sein
Ein Nachtrag ganz konkret zu dem, was Microsoft da erzwingt: Die wollen, das OAuth 2.0 benutzt wird, weil es ja Industrie-Standard ist und so.
Nun, es ist kein vergammelter Industrie-Standard, sondern ein echter (RFC 6750), aber das Verfahren ist komplex und bei der Implementierung recht fehleranfällig.
Wer so etwas behauptet? Zum Beispiel Eran Hammer im Jahr 2012 (vgl. https://gist.github.com/nckroy/dd2d4dfc86f7d13045ad715377b6a48f). Eran Hammer war der leitende Verfasser des Standards.
Unter iOS via Exchange eingerichtet. Seit einiger Zeit wird aber ständig das Passwort abgefragt, obwohl es jeweils immer korrekt eingegeben wurde, Hat Jemand eine Idee / Lösung?
Unter Android ist meine Outlook.com Adresse mit Gmail per Exchange eingerichtet, seit geraumer Zeit kommen wegen diesem Change jede Menge Passwortabfragen… MS sagt folgendes dazu: https://support.microsoft.com/en-us/office/outlook-and-other-apps-are-unable-to-connect-to-outlook-com-when-using-basic-authentication-f4202ebf-89c6-4a8a-bec3-3d60cf7deaef
Weiß jemand ob der Kalender und Kontakte mit gesynct werden, wenn man in Gmail die Outlook.com Option auswählt?