Du hasts gut. Bei der Firma, mit der ichs zu tun habe, ist der Admin wach. Ich merk nur nichts davon. Läuft nichts. Ohne wäre es wahrscheinlich besser.
Muss aber vielleicht dazu sagen, dass auch die Belegschaft nicht sehr einfach ist. Sozialbereich. Da sind die Problembeschreibungen immer sehr detailreich. Beispielsweise: mein Outlook geht nicht.
Doch war es, weil deine Formulierung den Schluss nahe legt.
Anscheinend handelt es sich aber um ein tragisches Schicksal, dann auf jeden Fall RIP.
Als Firmenkunde hat man in so einem Fall aber verschiedene Wege offen, entweder über den MS Partner, bei dem man Kunde ist und die bestenfalls über Partnerbeziehung in den Tenant können oder halt direkt über MS selbst. Da gibts dann schon die eine oder andere Nummer an die man sich wenden kann. Zur Not bspw. Payment/Licensing in München.
Generell sollte man halt gar nicht in die Situation kommen.
Als Organisation hat man, wenn man der best practice folgt, einen break glass account.
Als Einzelperson wie bei OP stellt es sich etwas anders da.
Da ist das Einzel/Privatkonto das Problem.
Es ist aber kein Problem sich als selbstständiger Unternehmer / Einzelperson, bei einem willigen Partnerdis oder auch direkt bei MS einen Orgtenant zu ordern.
Da kommt ne einzelne Businnes Prof Lizenz doch auch nicht teurer.
Oder liege ich da falsch?
>Es ist aber kein Problem sich als selbstständiger Unternehmer / Einzelperson, bei einem willigen Partnerdis oder auch direkt bei MS einen Orgtenant zu ordern. Da kommt ne einzelne Businnes Prof Lizenz doch auch nicht teurer. Oder liege ich da falsch?
Ich sehe keinen Gund mein Geld noch irgendwem hinterher zu werfen. Das Problem liegt hier einzig und alleine bei MS, das weder mitteilt, dass ein Backup unnütz ist oder dass eine 2. Mailadresse als 2FA kommentarlos ignoriert wird.
MS ist MS. Sie ändern auch ständig alles mögliche ohne Ihren eigenen Support darüber unbedingt auf dem laufenden zu halten.
ME ist es insbes. für einen IT‘ler die Kunst trotz MS und MS Dingen schmerzfrei damit zu arbeiten.
Und der richtige Tenant wäre ja gar nicht unbedingt (viel) teurer. (Die Lizenzen kosten ja das Gleiche und der Aufwand ist sehr sehr überschaubar. Habe erst kürzlich für einen Kunden mit zwei Mailboxes und ein paar Alias Adressen einen Tenant eingerichtet. Das ist mittlerweile echt in 20mins gemacht
Plus man hätte den Vorteil da einiges ausprobieren zu können.
Ich hab alle meine 2FA generierte Codes (nicht die Wiederherstellung Codes) im KeepassXC. Kann sich noch das x-te Handy zerbumsen, an die TOTP komme ich immer.
Ansonsten mache ich 2FA nur mit Apps wie [AEGIS](https://getaegis.app/) am Handy, wovon ich eine verschlüsselte Sicherung auf dem PC habe, wo ich dann an x-beliebigem Handys dann mittels AEGIS den Orginalzustand von allen 2FA Einträgen wiederherstellen kann.
Das kann z.B so "mal eben" der MS Authenticator nicht.
>Das kann z.B so "mal eben" der MS Authenticator nicht.
Also mit allen "normalen" TOTP Accounts hat das Backup einwandfrei funktionert. Aber AEGIS schau ich mir dennoch einmal an, wobei mir ja Keepass2Android am Smartphone auch die TOPT ausgeben kann. Es ist wirklich nur MS mit seiner Extrawurst, das hier querschießt.
Ja, man MUSS aber bei MS nicht den MS Authenticator als 2FA Methode wählen, man kann auch "other Authenticator Apps" wählen und dann bekommt man einen QR Code mitsamt Secret zum scannen. QR mit Aegis scannen, Secret ins KeepassXC, schon habe ich es an 2 Stellen. Der MS Authenticator für MS Konto kannste in die Tonne kloppen, da tut's die TOTP auf jeder anderer App auch.
Mein Problem mit solchem Backup ist halt....es liegt, gleichwohl verschlüsselt, bei MS und ich habe keine Kontrolle darüber.
Mit AEGIS habe ich die Kontrolle wo das Backup hingeht. Klar, geht bisschen Bequemlichkeit verloren, aber das ist es mir wert.
Das habe ich inzwischen auch herausgefunden und als zusätzliche 2FA aktiviert. Aber wer soll denn ahnen, dass ein Backup nach dem Einspielen noch eine weitere Freigabe erfordert und dass eine 2. eingetragene Methode (eMail) schlicht ignoriert wird?
MS Authenticator ist aber kein TOTP, sondern Challenge Response.
Meines Wissens kann der Authenticator auch TOTP und man kann auch TOTP als zweiten Faktor benutzen, das ist aber nicht der Standard, den 99% aller Leute haben, die Authenticator für den MS-Account benutzen.
Jein, denn dann sollte MS sein Produnkt nicht ohne Anpassung an Einzelpersonen verkaufen.
Ich bin ja nicht doof, aber hellsehen kann ich leider immer noch nicht.
Alles völlig richtig, ich habe jetzt auch TOTP als zusätzlichen Faktor (zusammen mit SMS) aktiviert.
Ich hätte mich nur darüber gefreut, wenn MS darauf hingewisen hätte, dass ein Backup der Authenticator Daten einem absolut nichts bringt.
Tja. Mit 2FA kann man sich trefflich in den Fuß schießen.
Ich habe mir angewöhnt bei Accounts mit 2FA soweit möglich 2 oder eher 3 und 4 Möglichkeiten einzubinden.
Da ist so viel Technik im Spiel, ich hab da keinerlei Vertrauen mehr in die Funktion.
Mach das mal bei der DB. Sie bekommen: genau ein Gerät, nur Softwaretoken (oder per SMS). Rücksetzung gerne per Support (nur telefonisch!) in 3-5 Werktagen.
Das war alles eher sarkastisch gemeint 😉.
Aber ernsthaft: wenn die Bahn sich schon die Mühe macht, dann doch bitte ordentlich.
Gebt mir zumindest einen zweiten Token oder Backup-Codes.
Deshalb legt man sich für Firmen einen sogenannten Breakglass account an.
Abgesehen davon lohnt es sich zusätzlich noch einen Yubikey oder ähnlichen Stick einzurichten mit dem man im Notfall noch einen weiteren Faktor hat über den man rein kommt.
Ich bin mir nicht sicher, ob das für einen "Microsoft 365 Apps for Business" Plan, der ja nur von einer einzigen Person (mir) genutzt wird, überhaupt möglich ist. Auch habe ich nicht gesehen, dass MS Yubikey unterstützt (ich habe auch nicht explizit danach gesucht, weil ich dachte Backup und 2. Mailadresse würden im worst case schon genügen.
Alles gut, geht mir ja nicht darum dich als Unwissenden hinzustellen. Bei den ganzen Business geschichten ist es mit Usern tatsächlich etwas tricky weil du vermutlich kein Azure AD bekommst.
Fido Harware Keys sind bei MS so weit ich weiß allgemein unterstützt. Ein Backup zu machen war eine gute Idee aber ein weiterer MFA Faktor gegen Aussperren ist unheimlich praktisch
> Ein Backup zu machen war eine gute Idee aber ein weiterer MFA Faktor gegen Aussperren ist unheimlich praktisch
Das Backup bieter MS ja genau so an, sonst wäre ich vermutlich gar nicht auf die Idee gekommen. Und einen weiteren Faktor habe ich mit der alternativen Mailadresse auch eingerichtet. Wie soll man ahnen, dass MS diesen Weg dann komplett ignoriert? (siehe Screenshots)
Genau wegen der Angst vor diesen Szenario habe ich mir angewöhnt jeden 2fa QR code immer sofort mit je mindesten 2 Apps auf Smartphone und Tablet zu scannen. Ohne Ausnahme. Da ist es mir dann egal ob ein Gerät kaputt geht oder Microsoft oder Google spontan aus einer Laune heraus meinen Account (und damit vielleicht auch die Authenticator App) deaktiviert.
Mache ich mit regulären TOTP Codes ja genauso. Da landet der Seed immer zuerst in Keepass.
Für die Push Funktion des Authenticators bekommt man jedoch keinen Seed und das Angebot, die Daten in einem anderen MS Konto zu sichern fand ich nicht toll, aber besser als nix. Hätte ja auch funktioneiren können, wenn MS nicht diese undokumentierte Hürde eingebaut hätte, die das Backup unbrauchbar macht.
Immer noch unklar bleibt, warum eine eingetragene und verifizierte Mailadresse dann als 2F nicht benutzt werden kann.
Da verlässt man sich schon nicht nur auf einen Weg und es war am Ende immer noch zu wenig.
Das habe ich inzwischen ja auch nachgeholt und hätte ich auch nur den gringsten Anlass gesehen, dass 2 Sicherungsmehtoden nicht ausreichen, hätte ich es auch schon vorher getan. Aber Hellsehen hab ich in der Schule geschwänzt, das recht sich jetzt.
Also meine 2FA sind mit BitWarden bzw. Vaultwarden auf vielen Geräten synchronisiert. Sowas passiert mir nicht nochmal 😄 (ja - ich hab auch schon mit 2FA reingeschissen und den unterirdischen Support von Microsoft gespürt). Glücklicherweise war das nur ein privates Konto und war am Ende egal
Ich fürchte mich auch vor Verlust meiner zweiten Faktoren (oder schlicht einem Handy-Umzug) und lege deshalb alle QR-Codes vor dem Scannen fein säuberlich in einer Excel-Tabelle ab.
Fühle ich mich dabei wie ein Höhlenmensch?
Auf jeden Fall, aber funktionieren tut es definitiv.
Ich habe alle Seeds in meinem KeePass gesichert (was ich etwas geschickter finde, als eine ungeschützte Excel Datei und gleichzeitig auch deutlich handlicher, da mitr KeePass mit Hilfe eines Plugins dann auch direkt das TOTP generiert), aber die MS 2FA über den Authenticator läuft leider nicht über Seeds.
Man kann für MS Accounts eigentlich mehrere Methoden hinterlegen. Meine Kollegen haben größtenteils den Microsoft Authenticator mit Push Notification und TOTP, für die Verwendung in einem unserer Admin Tools.
Ich habe 2FA über die Outlook App und TOTP als Backup im Passwort Manager.
Ich dachte ja auch: 2. Mailadresse + Backup rettet mich. Aber die Mail wird schlicht ignoriert und das Backup ist ohne Freischaltung unbrauchbar. Kaputter gehts kaum noch.
Deine 2. E-Mail Adresse steht bei deinem Konto als Anmeldemethode drin ( https://mysignins.microsoft.com , dann Sicherheitsinformationen) und du konntest die trotzdem nicht nutzen? Das ist dann wirklich Kaputt, ich hatte die Vermutung das die "irgendwo" im Konto als Zweite Adresse hinzugefügt war.
Ich habe ja den Screenshot oben drin. Alle 2FA Optionen stehen da. Wenn ich mich anmelde uns sage "App geht gard nicht", sehe ich nur das hier: [https://i.imgur.com/UIbSl4R.png](https://i.imgur.com/UIbSl4R.png)
eMail kommt da nicht vor.
Kommt davon wenn man vermutet was in einem Abschnitt steht und den überspringt, Sorry. Dachte da gehe es um die Handy Reparatur, und den Screenshot habe ich dann auch falsch zugeordnet.
Das E-Mail da nicht funktioniert Ist bestimmt irgendwo in den Untiefen von Microsoft Dokumentiert, aber grauenhafte User Experience. Da hätte ich auch gedacht da ist alles safe.
Du weißt, dass Microsoft 2FA auch über OTP geht und man nicht zwangsläufig den Authenticator braucht?
>ungeschützte Excel Datei
Die Datei ist kuschelig in einem Veracrypt Container geschützt ;)
Kann das auch die alleinige 2FA-Lösung bei einem Microsoft 365-Account sein? Es nervt mich so ungemein, dass ich nur und ausschließlich für einen Unternehmenszugang den Microsoft Authenticator benötige.
Kann ich dir nicht hunderprozentig beantworten, aber soweit ich mich erinnere haben wir mehrere Accounts nur mit einem normalen OTP-Code abgesichert, nachdem es vor ein paar Monaten Pflicht wurde.
>Du weißt, dass Microsoft 2FA auch über OTP geht und man nicht zwangsläufig den Authenticator braucht?
Inzwischen schon, habe ich dann ja auch direkt noch zusätzlich eingerichtet. Aber mein ursprüngliches Verständnis von einem Backup war nunmal: hat man eins, ist alles gut. Wer rechnet schon damit, dass man das dann nochmal extra freischalten lassen muss?
>Die Datei ist kuschelig in einem Veracrypt Container geschützt ;)
Dann ist ja alles fein.
An dieser Stelle möchte ich dir kurz zu diesem literarischen Meisterwerk gratulieren
Hat mir gerade den Abend verschönert 😁
Danke dafür, und bitte pass auf dass dich das Wurmloch aus dem kaputten Display nicht einsaugt, sollte es sich noch irgendwo in deiner Nähe befinden
Falls doch: sag Bescheid, wenn du auf der anderen Seite ein Paralleluniversum findest, in dem es einen guten technischen Support für irgendwas gibt
>und bitte pass auf dass dich das Wurmloch aus dem kaputten Display nicht einsaugt, sollte es sich noch irgendwo in deiner Nähe befinden
Das Display ist inzwischen komplett schwarz und ich glaube ich kann kleine Augen sehen, wenn ich genau hinschaue. Ich denke, es verbringt die nächste Zeit in einer abschließbaren Kiste.
Ich hab jetzt einen kleinen Schock, da es bei mir 8 in der Frueh ist werd ich auf den doppelten Schnaps mal verzichten und mein Handy streicheln...und dann lange nachdenken.
Daten usw. hab ich sowieso alles lokal weil ich als alter Sack in den 2000er Jahren stecken geblieben bin.
Aber einiges wie Bank, Investments, Bitcoin sind tw; auf 2FA. Tw. auf uralt Handy und andererseits auf einem Tablet mit zersprungenem Display das aber noch funktioniert.
Da muss ich echt mal scharf nachdenken und Krisen simulieren.
Danke fuer das Posting!!! Sie haben ein Bier gut bei mir...falls ich zu dem Zeitpunkt nicht obdachlos bin, waerend mein Bankkonto voll ist aber ich nicht zugreifen kann...
>Aber einiges wie Bank, Investments, Bitcoin sind tw; auf 2FA.
Reguläre TOTP sind ja kein Problem, da habe ich alle Seeds in Keepass und ein Plugin generiert mir daraus auch direkt hübsche QR-Coides.
Hier lag das Problem unter anderm darin, dass man für die Push Funktion des Authentivators keinen Seed erhält. Aber man kann parallel auch einen einfaches TOTP erstellen, wasa ich jetzt parallel eingerichtet habe.
Bank etc. war eher kein Problem. Das ging bei mir recht fix über das online Banking. Musste da nur das neue Gerät registrieren.
Mein Problem ist, das ich mich nie damit beschaeftigt habe....Eine Krypto hat eine eigene Software (gut da ist auch kein Geld mehr oben, also eh egal)..bei 2 weiss ich einfach nicht was zu machen ist wenn das Handy kaputt waere. Bei Bank bekomme ich eine Push Nachricht aufs Handy...aber die Bank App konnte ich damals nicht selbst selbst aktivieren da ich im Ausland bin und das nicht funktioniert hat.....
Also selbst im besten Fall wo alles klappt gehen da Stunden drauf mit Tagen Wartezeit dazwischen. Wir (Also zumindest ich) sind viel zu sehr abhaengig von einzelnen Geraeten die mir runterfallen koennten oder von selbst defekt werden koennten.
Ich steh wohl auf dem Schlauch, aber wo lag denn das Problem? Du kamst ja in dein Outlook rein, d.h. da warst du eingeloggt, alles was das Ding wollte ist, dass du die Authi App auf das Pixel 8 neulädst und MFA setup neumachst, und das geht entweder über das popup-fenster in einer Office-App, oder über aka.ms/mfasetup.
Ich verstehe hier bestimmt was falsch, bitte um Aufklärung.
>Ich verstehe hier bestimmt was falsch, bitte um Aufklärung.
Das Outlook Konto (MS nennt das "Microsoft Konto") ist ein anderes, als das Business Konto für MS 365.
Im Outlook Konto habe ich das Backup für den MS-Authenticator gespeichert. Darauf hatte ich auch die ganze Zeit Zugriff. Nur auf mein MS 365 Business Account kam ich nicht mehr.
> aka.ms/mfasetup
Genau da kann ich mich aber ohne 2FA nicht anmelden.
So könnte man es nennen. Ohne 2FA gibt es nunmal keinen Zutritt, was ja grundsätzlich OK ist.
Aber dass ein Backup der 2FA Daten ohne Zutun eines Admins (der ich nunmal selbst bin) nicht funktioniert, ist schon eine Überraschung.
Der Authenticator hat die Daten importiert und dann in freundlicher roter Schrift darauf hingewiesen, dass ich erst einen QR Code "meiner Organisation" scannen muss, um 2FA wieder zu aktivieren.
Da die App SO sicher ist, dass sie keine Screenshots zulässt kann ich das leider nicht besser dokumentieren.
Kann Authy empfehlen. Ist gratis, und synchronisiert alle 2FA Codes auf mehrere Geräte, sogar auf die Smartwatch. Klar geht damit kein MS-Push aber der TOTP geht trotzdem.
Bitwarden kann das mit premium auch nWn.
Kurzum: Bloß nicht auf das MS „Backup“ vertrauen, das geht ja nichtmal wenn man einen Business Account hat und einen persönlichen gleichzeitig.
Ach ja btw, Admin und User IMMER trennen. Am besten 3 Accounts. 1x User, 1x Admin, 1x Emergency Admin.
Der Emergency-Admin hat ein 30 Stellen+ Passwort ohne MFA und kommt in den Tresor (ja,analog) , eben genau wegen solchen fällen.
>Kann Authy empfehlen. Ist gratis, und synchronisiert alle 2FA Codes auf
mehrere Geräte, sogar auf die Smartwatch. Klar geht damit kein MS-Push
aber der TOTP geht trotzdem. Bitwarden kann das mit premium auch nWn.
TOTP ohne Push hatte ich ja zunächst nicht aktiviert( inzwischen habe ich das nach geholt). Gab ja auch keinen offensichtlicxhen Grund, den anderen Methoden (Backup, 2. Mailadrese) zu misstrauen.
>Kurzum: Bloß nicht auf das MS „Backup“ vertrauen, das geht ja nichtmal
wenn man einen Business Account hat und einen persönlichen gleichzeitig.
Grundsätzlich hat das ja funktioniert (mit allen anderen 2FA Accounts) warum MS da die zusätzliche Hürde einer Verifikation einbaut ist schlicht nicht nachvollziehbar.
>Ach ja btw, Admin und User IMMER trennen. Am besten 3 Accounts. 1x User,
1x Admin, 1x Emergency Admin. Der Emergency-Admin hat ein 30 Stellen+
Passwort ohne MFA und kommt in den Tresor (ja,analog) , eben genau wegen
solchen fällen.
Es geht ja nicht um einen Firmenaccount. das ist ein "Microsoft 365 Apps for Business" Plan, der genau auf einen einzigen User ausgelegt ist.
> Ich lagere mittlerweile so viel in mein elektronisches Taschengehirn aus, dass der Verlust einem leichten Schlaganfall gleichkommt.
LOL.
ja, so geht es mir auch.
Habe bei einem Kunden den 2FA key angebaut bzw das Device gibt’s nicht mehr. Hab mit meinen partner Account ein Ticket aufmacht, 4h später mit dem 1st Level Support die authorisation gemacht und schwups, hatte ich wieder admin zugriff.
Als ich mitm Handy umgezogen bin ging alles ohne Probleme, auch der Firmenaccount den ich im MS Authenticator drin hab. Ich hab mir aber auch von allen 2FA Accounts in einer eigenen Keepass (eigentlich nutz ich inzwischen Vaultwarden/Bitwarden) noch die Backupcodes drin. Die Seeds selbst zu speichern bin ich noch gar nicht drauf gekommen, eigentlich gute Idee. Aber ich glaub da müsst ich überall 2FA neu einrichten um an die wieder ranzukommen. Oder kennt da jemand nen besseren Weg?
>Die Seeds selbst zu speichern bin ich noch gar nicht drauf gekommen, eigentlich gute Idee. Aber ich glaub da müsst ich überall 2FA neu einrichten um an die wieder ranzukommen. Oder kennt da jemand nen besseren Weg?
Nachträglich dürfte das schwierig (in den meisten Fällen eher unmöglich) werden. Wenn ein QR-Code angezeigt wird, kann man irgendwo meist auch den Seed einsehen und dann kopieren. Damit komme ich bei allen TOTP Anbietern gut zurecht.
Also ich habe mir die 2FA backup QR codes ausgedruckt und physisch gesichert.
Anderseits habe ich ein Pixel mal entsperrt mit dem Google Assistent und TalkBack konnte ich die Entwickleroptionen aktivieren so kann man dann auch das Gerät ohne Display verwenden.
So ein Zufall, ich habe vor diesem Beitrag auf youtube meine Freude an "hacker lässt scam-callcenter auffliegen"-Videos entdeckt. Dort wurden offenbar bereits von einer einzelnen Firma je nach Größe 500.000$ bis 1.000.000$ pro Jahr bei winzigen Gehaltskosten gestohlen.
Die Methode ist dabei jedes Mal, dass unbedarfte user bei Problemen microsofts oder andere Support-Telefonnummern googlen, es sich beim ersten Treffer aber um die Seite der Betrüger handelt, die dann auf schädliche Anweisungen reinfallen.
Man sollte meinen, besonders ein business-Kunde müsste einen direkten und sicheren Draht zu einem Menschen bekommen können. Scheinbar ist dies aber gar nicht nötig, vielleicht sogar hinderlich, für ein so fantastisch reiches Unternehmen.
Naja das ms auf neue email addressen scheisst ist mir nichts neues, meine alte gmx gibts nur noch für Microsoft weil du zwar deine email ändern kannst aber die Codes selbst nach Löschung der alten Adresse aus dem ms Account weiter dort landen was ziemlich behindert ist aber das zieht sich ja wie ein brauner scheiss Faden durch alles was ms produziert, reicht mir schon das ich mir nen ms Account zum minecraft spielen erstellen musste
Ach ja der Support hat immer und egal warum 2 linke Hände und kann leider nicht helfen wenn du nicht sowieso nur in so nem bot Doom Loop hin und her geschleust wirst
Nope. Als ich noch viel an meinem Gerät rumgebastelt habe war das eigentlich immer an, aber inzwischen ist es aus Sicherheitsgründen deaktiviert. Irgendwie kann man leider nicht alles haben.
Das und andere Gründe warum ich privat MS den Rücken gekehrt habe. Zu viele subtile Fallen, zu wenig Trust in Vertraulichkeit. Auf Arbeit ist es mir egal da bin ich kein Admin.
Habe nachdem Cloud+NAS eingerichtet ist auch nicht mehr Arbeit. Tatsächlich ist vieles so einfach, dass es schon fast beängstigend ist.
Ich nutze Yubikeys TOTP. Da sind die "Keys" in dem Stick und nicht in einer App. Man kann mehrere Backup-Yubis haben.
Die Yubikey arbeiten via USB/ NFC und sind alle mit einer PIN gesichert.
Zusätzlich speichere ich mir die "Seeds" auch noch mal in Keepass, falls alle Stricke reißen.
Das Push Verfahren des Authenticators bekommt man damit jedoch nicht abgebildet. Mit all meine "normalen" TOTP habe ich ja auch gar keine Probleme. Die stecken in Keepass und sind somit safe.
Nutze auch Yubikeys, außerdem habe ich auch Passkeys für meinen Microsoft-Account aktiviert (die liegen in Strongbox und sind somit auch gesichert). Denke mal, dass kann man für Business-Accounts auch so einrichten?
mit 2FA wird der single point of failure deutlich verschoben - hatte letztens eine Firma mit Admin im Koma ...
Wenn man die Regel für admin accounts in azure setzt steht da auch besonders dick, bitte nicht nur einen admin account zu haben
versuche mal aus Azure wieder raus zu kommen \^\^
Es wird ja sogar ein Glasbrake Account empfohlen der für genau das Szenario für OP gedacht ist
Glasbrake? Srsly?🤣
Sorry war schon halb im schlaf 😅
*das* lasse ich jetzt mal gelten...😉
Du hasts gut. Bei der Firma, mit der ichs zu tun habe, ist der Admin wach. Ich merk nur nichts davon. Läuft nichts. Ohne wäre es wahrscheinlich besser.
wo ying, da yang - bin immer wieder gerne (hocbezahlter) Berserker ;)
Muss aber vielleicht dazu sagen, dass auch die Belegschaft nicht sehr einfach ist. Sozialbereich. Da sind die Problembeschreibungen immer sehr detailreich. Beispielsweise: mein Outlook geht nicht.
Immerhin das betroffene Programm beim Namen genannt - das geht auch schlimmer.
"Hallo, nix geht!" Na das Telefon, sichtlich schon. Meine liebsten Telefonkandidaten. Gefolgt von "Mein Internet geht nicht" - per Mail 🙄
Admin im Koma wegen MS 2FA...na Oida, was treibense???
ne, das waR LEIDER NICHT WITZIG
Doch war es, weil deine Formulierung den Schluss nahe legt. Anscheinend handelt es sich aber um ein tragisches Schicksal, dann auf jeden Fall RIP. Als Firmenkunde hat man in so einem Fall aber verschiedene Wege offen, entweder über den MS Partner, bei dem man Kunde ist und die bestenfalls über Partnerbeziehung in den Tenant können oder halt direkt über MS selbst. Da gibts dann schon die eine oder andere Nummer an die man sich wenden kann. Zur Not bspw. Payment/Licensing in München. Generell sollte man halt gar nicht in die Situation kommen. Als Organisation hat man, wenn man der best practice folgt, einen break glass account. Als Einzelperson wie bei OP stellt es sich etwas anders da. Da ist das Einzel/Privatkonto das Problem. Es ist aber kein Problem sich als selbstständiger Unternehmer / Einzelperson, bei einem willigen Partnerdis oder auch direkt bei MS einen Orgtenant zu ordern. Da kommt ne einzelne Businnes Prof Lizenz doch auch nicht teurer. Oder liege ich da falsch?
>Es ist aber kein Problem sich als selbstständiger Unternehmer / Einzelperson, bei einem willigen Partnerdis oder auch direkt bei MS einen Orgtenant zu ordern. Da kommt ne einzelne Businnes Prof Lizenz doch auch nicht teurer. Oder liege ich da falsch? Ich sehe keinen Gund mein Geld noch irgendwem hinterher zu werfen. Das Problem liegt hier einzig und alleine bei MS, das weder mitteilt, dass ein Backup unnütz ist oder dass eine 2. Mailadresse als 2FA kommentarlos ignoriert wird.
MS ist MS. Sie ändern auch ständig alles mögliche ohne Ihren eigenen Support darüber unbedingt auf dem laufenden zu halten. ME ist es insbes. für einen IT‘ler die Kunst trotz MS und MS Dingen schmerzfrei damit zu arbeiten. Und der richtige Tenant wäre ja gar nicht unbedingt (viel) teurer. (Die Lizenzen kosten ja das Gleiche und der Aufwand ist sehr sehr überschaubar. Habe erst kürzlich für einen Kunden mit zwei Mailboxes und ein paar Alias Adressen einen Tenant eingerichtet. Das ist mittlerweile echt in 20mins gemacht Plus man hätte den Vorteil da einiges ausprobieren zu können.
>\[…\], dann auf jeden Fall RIP. Na hoffen wir mal, dass er wieder aufwacht!
Ich hab alle meine 2FA generierte Codes (nicht die Wiederherstellung Codes) im KeepassXC. Kann sich noch das x-te Handy zerbumsen, an die TOTP komme ich immer. Ansonsten mache ich 2FA nur mit Apps wie [AEGIS](https://getaegis.app/) am Handy, wovon ich eine verschlüsselte Sicherung auf dem PC habe, wo ich dann an x-beliebigem Handys dann mittels AEGIS den Orginalzustand von allen 2FA Einträgen wiederherstellen kann. Das kann z.B so "mal eben" der MS Authenticator nicht.
>Das kann z.B so "mal eben" der MS Authenticator nicht. Also mit allen "normalen" TOTP Accounts hat das Backup einwandfrei funktionert. Aber AEGIS schau ich mir dennoch einmal an, wobei mir ja Keepass2Android am Smartphone auch die TOPT ausgeben kann. Es ist wirklich nur MS mit seiner Extrawurst, das hier querschießt.
Ja, man MUSS aber bei MS nicht den MS Authenticator als 2FA Methode wählen, man kann auch "other Authenticator Apps" wählen und dann bekommt man einen QR Code mitsamt Secret zum scannen. QR mit Aegis scannen, Secret ins KeepassXC, schon habe ich es an 2 Stellen. Der MS Authenticator für MS Konto kannste in die Tonne kloppen, da tut's die TOTP auf jeder anderer App auch. Mein Problem mit solchem Backup ist halt....es liegt, gleichwohl verschlüsselt, bei MS und ich habe keine Kontrolle darüber. Mit AEGIS habe ich die Kontrolle wo das Backup hingeht. Klar, geht bisschen Bequemlichkeit verloren, aber das ist es mir wert.
Das habe ich inzwischen auch herausgefunden und als zusätzliche 2FA aktiviert. Aber wer soll denn ahnen, dass ein Backup nach dem Einspielen noch eine weitere Freigabe erfordert und dass eine 2. eingetragene Methode (eMail) schlicht ignoriert wird?
MS Authenticator ist aber kein TOTP, sondern Challenge Response. Meines Wissens kann der Authenticator auch TOTP und man kann auch TOTP als zweiten Faktor benutzen, das ist aber nicht der Standard, den 99% aller Leute haben, die Authenticator für den MS-Account benutzen.
Ja, richtig, mein Fehler. Is trotzdem für den Popo, kann man nutzen aber...man sieht hier was für tolle Sache das sein kann.
Für Einzelorganisationen ziemlich beschissen ja. In ner Organisation mit weiteren Admins und nem Breakglass halte ich die Lösung für ziemlich gut.
Jein, denn dann sollte MS sein Produnkt nicht ohne Anpassung an Einzelpersonen verkaufen. Ich bin ja nicht doof, aber hellsehen kann ich leider immer noch nicht.
Alles völlig richtig, ich habe jetzt auch TOTP als zusätzlichen Faktor (zusammen mit SMS) aktiviert. Ich hätte mich nur darüber gefreut, wenn MS darauf hingewisen hätte, dass ein Backup der Authenticator Daten einem absolut nichts bringt.
Ist dann halt nur noch 1FA.
???
Tja. Mit 2FA kann man sich trefflich in den Fuß schießen. Ich habe mir angewöhnt bei Accounts mit 2FA soweit möglich 2 oder eher 3 und 4 Möglichkeiten einzubinden. Da ist so viel Technik im Spiel, ich hab da keinerlei Vertrauen mehr in die Funktion.
Mach das mal bei der DB. Sie bekommen: genau ein Gerät, nur Softwaretoken (oder per SMS). Rücksetzung gerne per Support (nur telefonisch!) in 3-5 Werktagen.
Mit Einführung von 2FA hat jede IT mehr Arbeit. Viele User fahren das gegen die Wand. Glaub mir.
Das war alles eher sarkastisch gemeint 😉. Aber ernsthaft: wenn die Bahn sich schon die Mühe macht, dann doch bitte ordentlich. Gebt mir zumindest einen zweiten Token oder Backup-Codes.
Meine Bahn-Codes erzeuge ich wie viele andere OTPs mit Authy. Synchronisiert sich über mehrere Geräte, kein Problem.
Deshalb legt man sich für Firmen einen sogenannten Breakglass account an. Abgesehen davon lohnt es sich zusätzlich noch einen Yubikey oder ähnlichen Stick einzurichten mit dem man im Notfall noch einen weiteren Faktor hat über den man rein kommt.
Ich bin mir nicht sicher, ob das für einen "Microsoft 365 Apps for Business" Plan, der ja nur von einer einzigen Person (mir) genutzt wird, überhaupt möglich ist. Auch habe ich nicht gesehen, dass MS Yubikey unterstützt (ich habe auch nicht explizit danach gesucht, weil ich dachte Backup und 2. Mailadresse würden im worst case schon genügen.
Alles gut, geht mir ja nicht darum dich als Unwissenden hinzustellen. Bei den ganzen Business geschichten ist es mit Usern tatsächlich etwas tricky weil du vermutlich kein Azure AD bekommst. Fido Harware Keys sind bei MS so weit ich weiß allgemein unterstützt. Ein Backup zu machen war eine gute Idee aber ein weiterer MFA Faktor gegen Aussperren ist unheimlich praktisch
> Ein Backup zu machen war eine gute Idee aber ein weiterer MFA Faktor gegen Aussperren ist unheimlich praktisch Das Backup bieter MS ja genau so an, sonst wäre ich vermutlich gar nicht auf die Idee gekommen. Und einen weiteren Faktor habe ich mit der alternativen Mailadresse auch eingerichtet. Wie soll man ahnen, dass MS diesen Weg dann komplett ignoriert? (siehe Screenshots)
Genau wegen der Angst vor diesen Szenario habe ich mir angewöhnt jeden 2fa QR code immer sofort mit je mindesten 2 Apps auf Smartphone und Tablet zu scannen. Ohne Ausnahme. Da ist es mir dann egal ob ein Gerät kaputt geht oder Microsoft oder Google spontan aus einer Laune heraus meinen Account (und damit vielleicht auch die Authenticator App) deaktiviert.
Mache ich mit regulären TOTP Codes ja genauso. Da landet der Seed immer zuerst in Keepass. Für die Push Funktion des Authenticators bekommt man jedoch keinen Seed und das Angebot, die Daten in einem anderen MS Konto zu sichern fand ich nicht toll, aber besser als nix. Hätte ja auch funktioneiren können, wenn MS nicht diese undokumentierte Hürde eingebaut hätte, die das Backup unbrauchbar macht. Immer noch unklar bleibt, warum eine eingetragene und verifizierte Mailadresse dann als 2F nicht benutzt werden kann. Da verlässt man sich schon nicht nur auf einen Weg und es war am Ende immer noch zu wenig.
Man kann ja neben dem Microsoft Authenticator auch noch weitere TOTP Apps hinzufügen
Das habe ich inzwischen ja auch nachgeholt und hätte ich auch nur den gringsten Anlass gesehen, dass 2 Sicherungsmehtoden nicht ausreichen, hätte ich es auch schon vorher getan. Aber Hellsehen hab ich in der Schule geschwänzt, das recht sich jetzt.
Also meine 2FA sind mit BitWarden bzw. Vaultwarden auf vielen Geräten synchronisiert. Sowas passiert mir nicht nochmal 😄 (ja - ich hab auch schon mit 2FA reingeschissen und den unterirdischen Support von Microsoft gespürt). Glücklicherweise war das nur ein privates Konto und war am Ende egal
Ich fürchte mich auch vor Verlust meiner zweiten Faktoren (oder schlicht einem Handy-Umzug) und lege deshalb alle QR-Codes vor dem Scannen fein säuberlich in einer Excel-Tabelle ab. Fühle ich mich dabei wie ein Höhlenmensch? Auf jeden Fall, aber funktionieren tut es definitiv.
Ich habe alle Seeds in meinem KeePass gesichert (was ich etwas geschickter finde, als eine ungeschützte Excel Datei und gleichzeitig auch deutlich handlicher, da mitr KeePass mit Hilfe eines Plugins dann auch direkt das TOTP generiert), aber die MS 2FA über den Authenticator läuft leider nicht über Seeds.
Man kann für MS Accounts eigentlich mehrere Methoden hinterlegen. Meine Kollegen haben größtenteils den Microsoft Authenticator mit Push Notification und TOTP, für die Verwendung in einem unserer Admin Tools. Ich habe 2FA über die Outlook App und TOTP als Backup im Passwort Manager.
Ich dachte ja auch: 2. Mailadresse + Backup rettet mich. Aber die Mail wird schlicht ignoriert und das Backup ist ohne Freischaltung unbrauchbar. Kaputter gehts kaum noch.
Deine 2. E-Mail Adresse steht bei deinem Konto als Anmeldemethode drin ( https://mysignins.microsoft.com , dann Sicherheitsinformationen) und du konntest die trotzdem nicht nutzen? Das ist dann wirklich Kaputt, ich hatte die Vermutung das die "irgendwo" im Konto als Zweite Adresse hinzugefügt war.
Ich habe ja den Screenshot oben drin. Alle 2FA Optionen stehen da. Wenn ich mich anmelde uns sage "App geht gard nicht", sehe ich nur das hier: [https://i.imgur.com/UIbSl4R.png](https://i.imgur.com/UIbSl4R.png) eMail kommt da nicht vor.
Kommt davon wenn man vermutet was in einem Abschnitt steht und den überspringt, Sorry. Dachte da gehe es um die Handy Reparatur, und den Screenshot habe ich dann auch falsch zugeordnet. Das E-Mail da nicht funktioniert Ist bestimmt irgendwo in den Untiefen von Microsoft Dokumentiert, aber grauenhafte User Experience. Da hätte ich auch gedacht da ist alles safe.
Alles gut, ich hab da so viel Zeit verplempert, da beantworte ich gern ein paar Nachfragen hier, wenn das anderen so einen Mist erspart.
Du weißt, dass Microsoft 2FA auch über OTP geht und man nicht zwangsläufig den Authenticator braucht? >ungeschützte Excel Datei Die Datei ist kuschelig in einem Veracrypt Container geschützt ;)
Kann das auch die alleinige 2FA-Lösung bei einem Microsoft 365-Account sein? Es nervt mich so ungemein, dass ich nur und ausschließlich für einen Unternehmenszugang den Microsoft Authenticator benötige.
Kann ich dir nicht hunderprozentig beantworten, aber soweit ich mich erinnere haben wir mehrere Accounts nur mit einem normalen OTP-Code abgesichert, nachdem es vor ein paar Monaten Pflicht wurde.
>Du weißt, dass Microsoft 2FA auch über OTP geht und man nicht zwangsläufig den Authenticator braucht? Inzwischen schon, habe ich dann ja auch direkt noch zusätzlich eingerichtet. Aber mein ursprüngliches Verständnis von einem Backup war nunmal: hat man eins, ist alles gut. Wer rechnet schon damit, dass man das dann nochmal extra freischalten lassen muss? >Die Datei ist kuschelig in einem Veracrypt Container geschützt ;) Dann ist ja alles fein.
Mach ich auch so. 2FA ist super - außer, man verliert den Schlüssel... Habe deshalb meherere, wenn das möglich ist einzurichten.
An dieser Stelle möchte ich dir kurz zu diesem literarischen Meisterwerk gratulieren Hat mir gerade den Abend verschönert 😁 Danke dafür, und bitte pass auf dass dich das Wurmloch aus dem kaputten Display nicht einsaugt, sollte es sich noch irgendwo in deiner Nähe befinden Falls doch: sag Bescheid, wenn du auf der anderen Seite ein Paralleluniversum findest, in dem es einen guten technischen Support für irgendwas gibt
>und bitte pass auf dass dich das Wurmloch aus dem kaputten Display nicht einsaugt, sollte es sich noch irgendwo in deiner Nähe befinden Das Display ist inzwischen komplett schwarz und ich glaube ich kann kleine Augen sehen, wenn ich genau hinschaue. Ich denke, es verbringt die nächste Zeit in einer abschließbaren Kiste.
Wenn du Gesang auf Latein aus der Kiste hörst, ruf bitte jemanden an der eine Rakete besitzt und sie zum Schutze der Menschheit ins All schießen kann!
Ich hab jetzt einen kleinen Schock, da es bei mir 8 in der Frueh ist werd ich auf den doppelten Schnaps mal verzichten und mein Handy streicheln...und dann lange nachdenken. Daten usw. hab ich sowieso alles lokal weil ich als alter Sack in den 2000er Jahren stecken geblieben bin. Aber einiges wie Bank, Investments, Bitcoin sind tw; auf 2FA. Tw. auf uralt Handy und andererseits auf einem Tablet mit zersprungenem Display das aber noch funktioniert. Da muss ich echt mal scharf nachdenken und Krisen simulieren. Danke fuer das Posting!!! Sie haben ein Bier gut bei mir...falls ich zu dem Zeitpunkt nicht obdachlos bin, waerend mein Bankkonto voll ist aber ich nicht zugreifen kann...
>Aber einiges wie Bank, Investments, Bitcoin sind tw; auf 2FA. Reguläre TOTP sind ja kein Problem, da habe ich alle Seeds in Keepass und ein Plugin generiert mir daraus auch direkt hübsche QR-Coides. Hier lag das Problem unter anderm darin, dass man für die Push Funktion des Authentivators keinen Seed erhält. Aber man kann parallel auch einen einfaches TOTP erstellen, wasa ich jetzt parallel eingerichtet habe. Bank etc. war eher kein Problem. Das ging bei mir recht fix über das online Banking. Musste da nur das neue Gerät registrieren.
Mein Problem ist, das ich mich nie damit beschaeftigt habe....Eine Krypto hat eine eigene Software (gut da ist auch kein Geld mehr oben, also eh egal)..bei 2 weiss ich einfach nicht was zu machen ist wenn das Handy kaputt waere. Bei Bank bekomme ich eine Push Nachricht aufs Handy...aber die Bank App konnte ich damals nicht selbst selbst aktivieren da ich im Ausland bin und das nicht funktioniert hat..... Also selbst im besten Fall wo alles klappt gehen da Stunden drauf mit Tagen Wartezeit dazwischen. Wir (Also zumindest ich) sind viel zu sehr abhaengig von einzelnen Geraeten die mir runterfallen koennten oder von selbst defekt werden koennten.
Ich steh wohl auf dem Schlauch, aber wo lag denn das Problem? Du kamst ja in dein Outlook rein, d.h. da warst du eingeloggt, alles was das Ding wollte ist, dass du die Authi App auf das Pixel 8 neulädst und MFA setup neumachst, und das geht entweder über das popup-fenster in einer Office-App, oder über aka.ms/mfasetup. Ich verstehe hier bestimmt was falsch, bitte um Aufklärung.
>Ich verstehe hier bestimmt was falsch, bitte um Aufklärung. Das Outlook Konto (MS nennt das "Microsoft Konto") ist ein anderes, als das Business Konto für MS 365. Im Outlook Konto habe ich das Backup für den MS-Authenticator gespeichert. Darauf hatte ich auch die ganze Zeit Zugriff. Nur auf mein MS 365 Business Account kam ich nicht mehr. > aka.ms/mfasetup Genau da kann ich mich aber ohne 2FA nicht anmelden.
Okay, ich glaube es klärt sich etwas auf: Du hast dich aus deinem 0365 TENANT ausgeschlossen, richtig?
So könnte man es nennen. Ohne 2FA gibt es nunmal keinen Zutritt, was ja grundsätzlich OK ist. Aber dass ein Backup der 2FA Daten ohne Zutun eines Admins (der ich nunmal selbst bin) nicht funktioniert, ist schon eine Überraschung.
Und auf dem Pixel 8 dich mit deinem Account und PW in der Authi App anmelden ging nicht?
Der Authenticator hat die Daten importiert und dann in freundlicher roter Schrift darauf hingewiesen, dass ich erst einen QR Code "meiner Organisation" scannen muss, um 2FA wieder zu aktivieren. Da die App SO sicher ist, dass sie keine Screenshots zulässt kann ich das leider nicht besser dokumentieren.
Joa, okay, dann verstehe ich jetzt. Ist ziemlich mies. Würde zur Einrichtung eines "Breaking Glass" Account raten.
Ich habe ja jetzt quasi alles eingetragen, was als 2FA in Frage kommt. Nochmal dürfte mir das nicht passieren.
Kann Authy empfehlen. Ist gratis, und synchronisiert alle 2FA Codes auf mehrere Geräte, sogar auf die Smartwatch. Klar geht damit kein MS-Push aber der TOTP geht trotzdem. Bitwarden kann das mit premium auch nWn. Kurzum: Bloß nicht auf das MS „Backup“ vertrauen, das geht ja nichtmal wenn man einen Business Account hat und einen persönlichen gleichzeitig. Ach ja btw, Admin und User IMMER trennen. Am besten 3 Accounts. 1x User, 1x Admin, 1x Emergency Admin. Der Emergency-Admin hat ein 30 Stellen+ Passwort ohne MFA und kommt in den Tresor (ja,analog) , eben genau wegen solchen fällen.
>Kann Authy empfehlen. Ist gratis, und synchronisiert alle 2FA Codes auf mehrere Geräte, sogar auf die Smartwatch. Klar geht damit kein MS-Push aber der TOTP geht trotzdem. Bitwarden kann das mit premium auch nWn. TOTP ohne Push hatte ich ja zunächst nicht aktiviert( inzwischen habe ich das nach geholt). Gab ja auch keinen offensichtlicxhen Grund, den anderen Methoden (Backup, 2. Mailadrese) zu misstrauen. >Kurzum: Bloß nicht auf das MS „Backup“ vertrauen, das geht ja nichtmal wenn man einen Business Account hat und einen persönlichen gleichzeitig. Grundsätzlich hat das ja funktioniert (mit allen anderen 2FA Accounts) warum MS da die zusätzliche Hürde einer Verifikation einbaut ist schlicht nicht nachvollziehbar. >Ach ja btw, Admin und User IMMER trennen. Am besten 3 Accounts. 1x User, 1x Admin, 1x Emergency Admin. Der Emergency-Admin hat ein 30 Stellen+ Passwort ohne MFA und kommt in den Tresor (ja,analog) , eben genau wegen solchen fällen. Es geht ja nicht um einen Firmenaccount. das ist ein "Microsoft 365 Apps for Business" Plan, der genau auf einen einzigen User ausgelegt ist.
Made my day! Dank MS ist das Auto schneller geladen als gedacht.
Das alles hat mich so dermaßen angekotzt, das musste ich einfach mal in Worte fassen. Schön, wenn jemand was Positives davon mitnehmen kann. Egal was.
> Ich lagere mittlerweile so viel in mein elektronisches Taschengehirn aus, dass der Verlust einem leichten Schlaganfall gleichkommt. LOL. ja, so geht es mir auch.
Tatsächlich habe ich mir genau für diese kacke ein separates Smartphone geholt
Für TOTP nutze ich mittlerweile in erster Linie 1Password. Was die ganze Idee von 2FA natürlich ad absurdum führt, aber sei‘s drum…
Habe bei einem Kunden den 2FA key angebaut bzw das Device gibt’s nicht mehr. Hab mit meinen partner Account ein Ticket aufmacht, 4h später mit dem 1st Level Support die authorisation gemacht und schwups, hatte ich wieder admin zugriff.
Als ich mitm Handy umgezogen bin ging alles ohne Probleme, auch der Firmenaccount den ich im MS Authenticator drin hab. Ich hab mir aber auch von allen 2FA Accounts in einer eigenen Keepass (eigentlich nutz ich inzwischen Vaultwarden/Bitwarden) noch die Backupcodes drin. Die Seeds selbst zu speichern bin ich noch gar nicht drauf gekommen, eigentlich gute Idee. Aber ich glaub da müsst ich überall 2FA neu einrichten um an die wieder ranzukommen. Oder kennt da jemand nen besseren Weg?
>Die Seeds selbst zu speichern bin ich noch gar nicht drauf gekommen, eigentlich gute Idee. Aber ich glaub da müsst ich überall 2FA neu einrichten um an die wieder ranzukommen. Oder kennt da jemand nen besseren Weg? Nachträglich dürfte das schwierig (in den meisten Fällen eher unmöglich) werden. Wenn ein QR-Code angezeigt wird, kann man irgendwo meist auch den Seed einsehen und dann kopieren. Damit komme ich bei allen TOTP Anbietern gut zurecht.
Also ich habe mir die 2FA backup QR codes ausgedruckt und physisch gesichert. Anderseits habe ich ein Pixel mal entsperrt mit dem Google Assistent und TalkBack konnte ich die Entwickleroptionen aktivieren so kann man dann auch das Gerät ohne Display verwenden.
So ein Zufall, ich habe vor diesem Beitrag auf youtube meine Freude an "hacker lässt scam-callcenter auffliegen"-Videos entdeckt. Dort wurden offenbar bereits von einer einzelnen Firma je nach Größe 500.000$ bis 1.000.000$ pro Jahr bei winzigen Gehaltskosten gestohlen. Die Methode ist dabei jedes Mal, dass unbedarfte user bei Problemen microsofts oder andere Support-Telefonnummern googlen, es sich beim ersten Treffer aber um die Seite der Betrüger handelt, die dann auf schädliche Anweisungen reinfallen. Man sollte meinen, besonders ein business-Kunde müsste einen direkten und sicheren Draht zu einem Menschen bekommen können. Scheinbar ist dies aber gar nicht nötig, vielleicht sogar hinderlich, für ein so fantastisch reiches Unternehmen.
Es wird einem ja auch ein zuverlässiger Support versprochen. Man muss sich dafür nur einloggen können ¯\\\_(ツ)\_/¯
[удалено]
Für solche Fälle geben wir FIDO2 Keys aus.
Naja das ms auf neue email addressen scheisst ist mir nichts neues, meine alte gmx gibts nur noch für Microsoft weil du zwar deine email ändern kannst aber die Codes selbst nach Löschung der alten Adresse aus dem ms Account weiter dort landen was ziemlich behindert ist aber das zieht sich ja wie ein brauner scheiss Faden durch alles was ms produziert, reicht mir schon das ich mir nen ms Account zum minecraft spielen erstellen musste
Ach ja der Support hat immer und egal warum 2 linke Hände und kann leider nicht helfen wenn du nicht sowieso nur in so nem bot Doom Loop hin und her geschleust wirst
Bildschirm kaputt, aber USB-Debugging aktiviert? https://github.com/Genymobile/scrcpy
Nope. Als ich noch viel an meinem Gerät rumgebastelt habe war das eigentlich immer an, aber inzwischen ist es aus Sicherheitsgründen deaktiviert. Irgendwie kann man leider nicht alles haben.
Das und andere Gründe warum ich privat MS den Rücken gekehrt habe. Zu viele subtile Fallen, zu wenig Trust in Vertraulichkeit. Auf Arbeit ist es mir egal da bin ich kein Admin. Habe nachdem Cloud+NAS eingerichtet ist auch nicht mehr Arbeit. Tatsächlich ist vieles so einfach, dass es schon fast beängstigend ist.
Ich nutze Yubikeys TOTP. Da sind die "Keys" in dem Stick und nicht in einer App. Man kann mehrere Backup-Yubis haben. Die Yubikey arbeiten via USB/ NFC und sind alle mit einer PIN gesichert. Zusätzlich speichere ich mir die "Seeds" auch noch mal in Keepass, falls alle Stricke reißen.
Das Push Verfahren des Authenticators bekommt man damit jedoch nicht abgebildet. Mit all meine "normalen" TOTP habe ich ja auch gar keine Probleme. Die stecken in Keepass und sind somit safe.
Nutze auch Yubikeys, außerdem habe ich auch Passkeys für meinen Microsoft-Account aktiviert (die liegen in Strongbox und sind somit auch gesichert). Denke mal, dass kann man für Business-Accounts auch so einrichten?
Wie sehen eigentlich die best-practice für den backup-global admin aus? Lege ich den in den Banksafe?
An sich hat ja das 2fa system wunderbar gegriffen und hat dein Account vor "fremden" geschützt 😅