nicht autorisierte Anmeldeversuche Hotmail Account

[HTL]

Guten Morgen, ich habe seit einem Monat ständige Versuche in meinem Mail Account das man sich anzumelden versucht, unter Sicherheit stehen die Versuche aufgeführt aber auch von Microsoft "keine erfolgreichen Anmeldungen, ist Ihr Konto sicher.".

Die Anmeldeversuche kommen aus den USA/Mexico/Costa Rica etc. mehrmals täglich, ich habe eine Zwei-Faktor-Authentifizierung (2FA) und bekomme nach Eingabe Passwort eine SMS auf mein Smartphone mit einem Code, funktioniert ja nur mit den letzten 4 Ziffern meiner Nummer (wer die kennt). Bei den Versuchen sich Einzuloggen die mir angezeigt wurden kam keine SMS.
Ist das Konto trotzdem sicher wie Microsoft es angibt? Alle 60 Tage ändere ich mein Passwort auch, 16 Ziffern mit Buchstaben/Sonderzeichen/Zahlen. Ich nutze Windows 11. Mails öffne ich über Web-Client "login.live.com".

 

[one]

2FA per Authenticator an und vergessen. 2FA per SMS ist unsicher.

 

[Dr. M.]

Ich sehe in den Meldungen keinen Grund zur Besorgnis, da offenbar falsche Passwoerter verwendet wurden. Das kann jeder versuchen, der deine E-Mail-Adresse kennt, z.B. aus einer Datenbank die bei irgendeiner Website abhanden gekommen ist. Nur bringt das bei einem halbwegs sicheren Passwort genau gar nichts.

 

[HTL]

Ja vielen Dank für eure Info, ich habe mich auch mal umgesehen und fand dies.:

Warum 2FA-Apps nicht mehr Sicherheit bieten als SMS

In den letzten Jahren wurden unzählige Server von namhaften Unternehmen gehackt. Und in fast allen Fällen wurden höchst sensible Userdaten gestohlen und im Darknet angeboten.

Dasselbe Risiko besteht selbstverständlich bei den Datenbanken der Anbieter von 2FA-Apps. Denn es werden dieselben Verschlüsselungsmethoden eingesetzt und Hacker werden immer gewiefter. Sobald Hacker Zugriff haben, können sie alle Keys auslesen - dazu diverse persönliche Daten - und haben uneingeschränkten Zugriff auf diverse Online-Accounts. Denn diese Keys sind natürlich auch in den Handys der Betroffenen gespeichert, sonst könnten die Apps nicht mit den Servern kommunizieren.

Dazu kommt das Risiko eines Man-in-the-middle-Angriffs, wenn User einen öffentlichen Hotspot nutzen, um sich in ein Konto einzuloggen. Hier ist die SMS natürlich eindeutig im Vorteil. Denn der übermittelte Code gilt ein einziges Mal und für einen sehr kurzen Zeitraum, es gibt keine gespeicherten Keys und die Übertragung erfolgt nicht über das Internet, sondern über das wesentlich sicherere Mobilfunknetz.

2FA-SMS hat einen unverdient schlechten Ruf

Während die 2-Faktor-Authentifizierung auf dem Vormarsch ist, gerät der Code per SMS immer mehr in den Hintergrund. Dabei punktet die 2FA-SMS mit unbestreitbaren Vorteilen - auch in Fragen der Sicherheit.

Die Hauptargumente gegen die SMS-Lösung sind bekannt: Trojaner könnten die Nachrichten abfangen, jemand könnte beim Empfang über die Schulter sehen und den Code lesen, Kriminelle könnten sich eine SIM-Karte beim Provider erschleichen.

Zwei dieser 3 Punkte lassen sich leicht entkräften: 1. Der Aufwand, um sich eine SIM-Karte zu einer bestimmten Telefonnummer zu besorgen, ist enorm. Und der Versuch ist - zumindest im deutschsprachigen Raum - aufgrund diverser Sicherheitsvorkehrungen der Mobilfunkanbieter höchstwahrscheinlich zum Scheitern verurteilt. 2. Wenn eine andere Person den gerade gesendeten Sicherheitscode sehen kann, hilft ihr das nicht weiter. Denn all diese Codes sind nur einmal gültig - und nur für wenige Minuten. Beim nächsten Login-Versuch wird ein neuer Code generiert.

Bleibt noch Punkt 3, der Trojaner auf dem Smartphone - wenn das geschieht, kann die 2FA-SMS natürlich ausgelesen werden. Doch auch Apps sind nicht vor Trojanern sicher. Und sie bergen noch viele weitere Risiken, die nicht thematisiert werden.

Außerdem machte ich gestern noch eine Abfrage beim Hasso-Plattner-Institut (HPI Identity Leak Checker) ob Identitätsdaten (Mail-Adresse) ausspioniert wurden,
nichts auffälliges. Ich werde mir erst mal keine Sorgen machen und beobachten, außerdem jetzt alle 4 Wochen dass Passwort erneuern.

 

[one]

Eine SMS ist technisch Datenmüll der übertragen wird und nicht verschlüsselt. Dass sie sicherer ist, als meine Codes im Authenticator halte ich für eine steile These.

Trojaner hm. Ist nicht ganz so einfach, wenn unter Android keine App aus ihrem Sandkasten darf...

Quelle zum Zitat bitte!

https://www.bitdefender.de/blog/hotforsecurity/warum-eine-authentifizierungs-app-besser-als-sms-ist/

 

[HTL]

@one
ich danke dir! Habe eben die Microsoft Authenticator App auf mein IPhone geladen und es funktioniert gut, musste im Account unter Sicherheit einen Code damit scannen, nach der Login Eingabe vom Benutzername klingelt die App am Smartphone und ich muss nur noch eine von drei zweistelligen Zahlen bestätigen und der Account geht auf. Das ist Sicher vermute/hoffe/glaube ich jetzt mal!

 

[one]

Ich sags ungern, aber der Authenticator von Google ist besser.

 

[Steeve]

Ich sags ungern, aber der Authenticator von Google ist besser.

Begründung?

 

[drfuture]

Ich setze ebenfalls lieber auf OTP statt Push.

Bei 2FA wurde ein Account des öfteren unter anderem durch zig Versuche z.b. mitten in der Nacht gehackt, da Leute irgendwann in Halbschlaf die 2FA Meldung bestätigt haben (oder meinst du die Variante bei der man selbst die 3 zahlen eingeben muss?)

Bei einer freien OTA App habe ich den Vorteil, das man die Zugänge von zig Anbietern unterbringen kann.

Anfangs hatte ich ebenfalls den Google Authenticator, der komplett offline funktioniert aber auch rein Backup hat. Bzw hatte. Inzwischen gibt es eines - das liegt aber fest im eigenen Google Account. Sollte der Google Account übernommen werden - sind alle 2FA Zugänge ebenfalls in der Hand des Angreifers.

Ich würde GitHub - jamie-mh/AuthenticatorPro: 📱 Two-Factor Authentication (2FA) client for Android + Wear OS verwenden. Hier gibt es verschlüsselte Backup Möglichkeiten und das Projekt ist opensource sowie gut angehangen / ausgereift.

 

[one]

Backup in der Googlecloud kann man deaktivieren. Als "Backup" dient bei mir ein zweites Smartphone.

 

[pspzockerscene]

KeePass[XC] kann man mittlerweile auch für 2FA Codes nutzen und/oder alternativ die 2FA Einrichtungscodes dort speichern.

Ist vielleicht nicht die allerbeste Idee, denn falls jemand Zugang zur KeePass DB hat hat er gleich die 2FA Zugänge, aber wenn ein Fremder Zugang zur eigenen KeePass DB hat, ist sowieso schon einiges schiefgelaufen.

 

[HTL]

Danke für euer Interesse! Seit dem ich am 2. Oktober die Microsoft Authenticator App auf dem Smartphone habe gab es keine Versuche mehr. Ich nutze dies Konto privat habe darüber aber auch Amazon und andere Dienste die ich nutze registriert, ein Einbruch würde Probleme bereiten. Bei meiner Bank habe ich so eine App längst in Benutzung und ich hätte selber drauf kommen müssen. Die Microsoft Authenticator App möchte ich weiter nutzen weil auch mein Arbeitskonto darüber existiert und mein Arbeitgeber Daimler es selber nutzt für unsere Mails.

 

[HTL]

Hallo, noch einmal eine Anfrage von mir in Bezug auf mein Problem mit dem Mailaccount! Ich habe ja zwischendurch immer wieder einmal so Anmeldeversuche gehabt auch nachdem ich die Authenticator App eingesetzt hatte, aber seit dem 11.11.23 ist es massiv und im Konto unter letzte Aktivität seit Samstag über 250 Anmeldeversuche aus der gesamten Welt. Sollte ich da irgendwie reagieren oder ignorieren?

 

[one]

Ich würd in diesem Fall durchaus mal den MS-Support kontaktieren. Ob das was bringt, sei mal dahingestellt, aber schaden wird es nicht.

 

[drfuture]

Wie greifst du denn auf das Postfach zu?

 

[one]

Mails öffne ich über Web-Client "login.live.com".

 

[HTL]

Wie greifst du denn auf das Postfach zu?

Genau, über login.live.com - und dann bestätige ich es mit der Microsoft Authenticator App (2FA) und drin. Also, erst die Mail Adresse oder Smartphone Nummer eingeben und danach bimmelt die App für das 2FA.

 

[drfuture]

im Grunde ließe sich ja dann ActiveSync deaktivieren. Nur wie das ohne Unternehmens-Account funktioniert habe ich keine Ahnung. Eventuell wirklich mal dem Support schreiben.

 

[HTL]

im Grunde ließe sich ja dann ActiveSync deaktivieren. Nur wie das ohne Unternehmens-Account funktioniert habe ich keine Ahnung. Eventuell wirklich mal dem Support schreiben.

Das kann es gewesen sein, habe meine privat Adresse jetzt für ein Synchronisieren abgeschaltet, in den Einstellungen der App, eventuell ist bald Ruhe, dank im Voraus…

 

[one]

Da hängt doch noch mehr an dem Account, oder warum ist das ne Exchange-Anfrage? Unliebsamen Mitarbeiter entlassen?