Noch eine Überprüfung der OATH-Hardware-Token-Funktion in Azure Cloud MFA

Vor ungefähr drei Monaten hat Microsoft die Verfügbarkeit von OATH TOTP-Hardware-Token in Azure MFA angekündigt . Die Funktion befindet sich noch in der „öffentlichen Vorschau“, aber wir sehen, dass viele unserer Kunden die Funktion bereits jetzt in der Produktion verwenden. Da wir dies in den letzten Monaten in unserer Laborumgebung testen und in vielen Fällen auch unsere Kunden bei der Aktivierung der Funktion unterstützen, haben wir einige Beobachtungen, die wir für wertvoll halten, geteilt zu werden.

Zeitdrift und Skew-Unterstützung

Es gibt keine genauen von Microsoft veröffentlichten Spezifikationen darüber, ob Zeitdrift auf der Serverseite erkannt und entsprechend angepasst wird. Da jedoch erwähnt wurde, dass die Implementierung auf RFC 6238 basiert, kann dies indirekt bedeuten, dass die Zeitdrift unterstützt wird. Details zur Unterstützung von Zeitversatz werden ebenfalls nicht bekannt gegeben, aber es war einfacher, dies durch Experimentieren mit unserem TOTP-Toolset herauszufinden. Es stellt sich heraus, dass Azure MFA OTP-Codes innerhalb eines Zeitraums von 900 Sekunden zulässt. Bei einem so großen Versatz sind Zeitdriftanpassungen nicht einmal erforderlich.

Hardware-Token "Einzigartigkeit"

Überraschenderweise ermöglicht Azure MFA die Zuweisung desselben Hardware-Tokens an mehrere Benutzer. Es ermöglicht nicht nur das Duplizieren von base32-Seeds, sondern auch von Seriennummern und Modellen innerhalb desselben Mandanten.

Lizenzierungsaspekte

Dies ist keine neue Beobachtung. Es wurde klar erwähnt, dass für die Aktivierung von Hardware-Token Azure AD P1- oder P2- Lizenzen erforderlich sind. Wir hatten einige Kunden, die bereit waren, von der Einführung von Hardware-Token mit ihren Office 365-Abonnements zu profitieren, aber nicht bereit waren, nur für eine so triviale Funktion etwa 5 bis 6 EUR pro Benutzer und Monat zu zahlen.
Wir empfehlen für diesen Fall, eines unserer programmierbaren Hardware-Token zu verwenden. Hierfür ist keine zusätzliche Lizenz erforderlich (da unsere programmierbaren Token vom System als Authenticator-Apps „ gesehen “ werden), da MFA für alle Office 365-Abonnements ab Business Essentials verfügbar ist.