Es geht um Tokens

In einer reinen Cloud-Welt kommt es vor allem darauf an, dass das Token sicher ist! Es geht also um Tokens in unserem neusten Beitrag zum Thema KMU-Sicherheit (übrigens Teil 3 der Serie). Wir sprechen über Zugänge auf neudeutsch genannt «Token». Davor aber noch kleiner Exkurs:

Was bedeuted DevNullOr42 eigentlich?

«DevNullOr42» kann verschiedene Bedeutungen haben, je nach Kontext. Irgenwie trifft hier alles etwas zu.

1. /dev/null in Unix/Linux:
   • devnull bezieht sich auf das spezielle Gerät /dev/null in Unix/Linux-Systemen. Es ist ein «schwarzes Loch» für Daten – alles, was dorthin geschrieben wird, wird verworfen.
   • Beispiel: echo "Test" > /dev/null sorgt dafür, dass die Ausgabe einfach verschwindet.
2. Zahl 42 – Anspielung auf «Per Anhalter durch die Galaxis»:
   • In Douglas Adams› Romanreihe Per Anhalter durch die Galaxis ist «42» die Antwort auf die ultimative Frage nach dem Leben, dem Universum und allem.
   • In Kombination mit «devnull» könnte es ein ironischer oder humorvoller Ausdruck sein, dass alle Daten oder Fragen ins Nichts führen – also, dass es keine wirkliche Antwort gibt.
3. Programmier- oder Hacker-Slang:
   • Manche Entwickler oder Tech-Communities verwenden «devnull 42» als Meme oder Synonym für sinnlose Anfragen oder unendliche Loops, die nie ein Ergebnis liefern.

Hast du das irgendwo in einem speziellen Zusammenhang gesehen?

Worum gehts in Episode 3 «es geht um Tokens» im Detail?

Diese Folge behandelt, wie Microsoft Entra ID mit adaptiven Authentifizierungsstrategien und KI-Innovationen neue Massstäbe im Balancieren von Sicherheit und Benutzerfreundlichkeit setzt. Marvin und Bender teilen humorvolle Momente, während sie Herausforderungen wie die Verwaltung privilegierter Konten und Conditional Access Policies diskutieren. Zudem wird über die Zukunft der Sicherheitstechnologien gesprochen.Token-Lifetime

Die Standardlebensdauer des Session-Tokens in Microsoft Entra ID beträgt 90 Tage. Das bedeutet, dass sich Benutzer in der Regel 90 Tage lang nicht neu authentifizieren müssen. Es sei denn, es gibt Änderungen in ihrer «Sicherheitslage», wie zum Beispiel eine Passwortänderung oder eine Richtlinienverletzung. Das bedeutet auch, dass ein Angreifer ein kompromittiertes Token im schlechtesten Fall bis zu 90 Tage lang verwenden kann.

Oder höre den Podcast auf Spotify:

Token-Berechtigungen

Das Entra ID-Konto mit höheren Berechtigungen, das für administrative Aufgaben verwendet wird, sollte kein Konto mit aktivierten M365-Diensten wie Exchange Online oder Onedrive sein. Man sollte immer ein Konto für Büroaufgaben und ein separates Konto für administrative Aufgaben verwenden. Schützen lässt sich dann ein solches Administratorenkonto zusätzlich mit einer niedrigen Token-Lifetime wie zum Beispiel 4 Stunden.

Passwort oder MFA

Man sollte immer MFA einsetzen, wie wir in der vorherigen Podcast-Folge erklärt. Das bedeutet auch, dass man die Benutzer nicht dazu zwingen muss, zu viele Passwortänderungen vorzunehmen, was in der Regel zu weniger sicheren Passwörtern führt (um sich die Passwörter merken zu können).