Microsoft Sicherheitsproblem?

[Jörg111]

Ich habe evtl. ein Sicherheitsproblem. Auf der Microsoftseite bei Anmeldeaktivitäten steht, dass Ich mich letztens angemeldet habe vom Internet Explorer. Aber ich nutze nur den Google Chrome. Einmal steht bei einer anderen Anmeldung auch Microsoft Edge dort.
Und an dem Tag war ich gar nicht in meinem Microsoft Konto.
Ausserdem steht da Standort Hannover. Und ich bin in Hamburg. Bei meinen eigenen Logins steht auch immer Hamburg. Allerdings als ich mich heute eingeloggt habe wird Hannover angezeigt. Warum?

Aber da steht erfolgreiche Anmeldung. Wie kann das sein wenn jemand nur mein Passwort haben sollte aber nicht mein Telefon für den Code bei 2 Faktor Authentifizierung, die ich schon seit Jahren aktiviert habe?
Oder bezieht sich erfolgreiche Anmeldung nur auf das Passwort und nicht auf den 2. Faktor?

Zur Info: Ich benutze den Passwortmanager Dashlane. Also super sicheres Passwort. Wäre dann zwangsläufig ein Virus auf meinem PC? Oder was kann noch passiert sein? Scan mit Bitdefender ergibt sauberes System.

Was bedeutet "zusätzliche Überprüfung angefordert"? Das steht dort 9x. Hat da jemand 9x versucht den 2. Faktor einzugeben?

Ferner wäre interessant zu wissen:
Warum steht manchmal die IPV4 dort und manchmal die IPV6?


Warum steht bei Android Zugriff: "Karte für Aktivitäten auf mobilen Geräten nicht verfügbar." ?
Standort Deutschland steht aber da.

Bei Windows Zugriff ist kein Standort verfügbar bei IPV6 Angabe aber bei IPV4 steht der Standort immer dabei.

Kennt sich da einer aus?


Hier die Screenshots: Der eine Screenshot ist schon älter und den anderen habe ich heute gemacht. Warum hat sich da etwas verändert? Letztens waren dort zehn zusätzliche Überprüfungen aber jetzt nur noch neun. Wie kann das sein? Warum ändert sich das nachträglich?

Jetzt:

Alt:

Hier die anderen Anmeldungen: So sieht es jetzt aus:

So sah es letztens aus: Dort stand 3x erfolgreiche Anmeldung aber jetzt steht da nur 2x erfolgreiche Anmeldungen:
Ausserdem ist die Reihenfolge anders:

 

[h00bi]

Oder bezieht sich erfolgreiche Anmeldung nur auf das Passwort und nicht auf den 2. Faktor?

Erfolgreich heißt erfolgreich bis zum Ende.


Viel mehr Sorge würden mir die Kennwortrücksetzungen bereiten, die dort gelistet sind.

 

[Jörg111]

Erfolgreich heißt erfolgreich bis zum Ende.

Die Kennwortrücksetzungen habe ich selbst gemacht nachdem ich den Zugriff bemerkte.
Allerdings sagte Microsoft mir, dass erfolgreich sich nur auf das Passwort bezieht. Das bedeutet nur, dass jemand mein Passwort hat (woher auch immer, zwangsläufig Virus?) und sich damit eingeloggt hat aber nicht dass jemand meinen 2. Faktor hat. Also kein vollständiges Log-In.
Microsoft sagte selbst, dass die Meldung erfolgreich irreführend ist aber die wollen das weitergeben, dass dort dann steht zb. Korrektes Passwort aber falscher 2. Faktor.

Ob das alles so stimmt, was die da so sagen :-)

Widerspricht sich deine Antwort nicht? Erst sagst du, erfolgreich heisst erfolgreich bis zum Ende und dann sagst du, du würdest dir keine Sorgen machen? :-)

 

[Cat Toaster]

"Woher" können wir Dir nicht sagt. Du kannst aber bei https://haveibeenpwned.com/ schauen, dort Deine gängigen Email-Konten eingeben und prüfen, ob dort eine Antwort auf Deine Frage lauern könnte, ob und in welchen "geleakten/gehackten" Datensätze Du ggf. schon dabei warst. Du hast mit 2FA dann ja trotzdem alles richtig gemacht.

Die Standortangaben können schon hin und wieder unterschiedlich sehen, je nachdem wie Dein Provider gerade nach Tagesform routet. Ich komme mit meinem Telekom-Wholesale-Vertrag auch ab und an mal an zwei unterschiedlichen Standorten "raus". Die Standorte sind hier also meist nach der Öffentlichen IP "geraten", ist bei Stand-PCs ja sonst nichts da.

Üblicherweise quäle ich meine Anwender auch nicht, dass Sie sich bei JEDER Anmeldung mit MFA anmelden sollen. Insbesondere wenn das Gerät, IP, Standort gleich und (im beruflichen Kontext Compliant) bleiben, entfällt das auch für einen definierten Zeitraum. Wenn Du den ganzen Tag an Deinem Rechner sitzt, musst Du Dich auch nicht jedes Mal Multifaktor-Authentifzieren, oder doch?

 

[Jörg111]

Der letzte Leak war für meine Mail-Adresse 2019 aber eigentlich hatte ich danach mir Dashlane besorgt. Aber ehrlich gesagt, weiss ich nicht mehr, seit wann ich Dashlane habe. Aber wahrscheinlich danach und dann hatte ich auch Passwort mit Dashlane generiert. Wie auch immer... ich habe jedenfalls letztens das Passwort geändert und meine Mail Adresse für den Sicherheitscode MFA rausgenommen falls jemand Zugriff auf mein Mail-Postfach haben sollte und dann habe ich jetzt nur noch mein Festnetz für den MFA Code (wird vorgelesen) und mein Smartphone für den MFA Code angegeben.
Erscheint mir sicherer als MFA Code per Mail.

Wenn Du den ganzen Tag an Deinem Rechner sitzt, musst Du Dich auch nicht jedes Mal Multifaktor-Authentifzieren, oder doch?

Naja siehst du ja, wenn jemand sich einloggt mit meinem Passwort und ich hätte MFA nicht aktiviert dann hätte ich jetzt ein Problem. Deshalb habe ich es lieber aktiviert auch auf meinem PC bei mir zuhause.
Oder mache ich da einen Denkfehler?

 

[Cat Toaster]

Jemand anders hat ja nicht Deinen Rechner/Browser/Session-Cookie/Deine IP zur selben Zeit wo Du Dich zuletzt mit MFA angemeldet hast. Unabhängig davon musst Du doch wissen, ob Du Dich mehrmals am Tag, nur weil Du den Browser nach der ersten Anmeldung morgens zugemacht hast, Mittags nochmal MFA bemühen?

Sicherer ist das, aber unfassbar viel nervtötender für einen sehr geringen Zuwachs. Bei manchen Anbietern stellt man seinen PC auch als einmalig mit MFA als Vertrauenswürdig ein und sagt "frag in X Tagen/Wochen/Monaten" erst wieder für dasselbe System.

MFA vs 2FA, weil es mehr als zwei Faktoren sein können (und eigentlich immer sind), nur kennt das Gegenüber ja nur Nutzername und Kennwort. Auth-App/SMS/Email-Code sind ein zweiter Faktor, konkrete Geräte (im Firmenkontext verwaltete etwa) ein Dritter. Kommt man immer von einer festen IP, kann auch das einer sein. Von Du Dich eben in DE einloggst und fünf Minuten später aus Thailand, bekommen die Systeme auch mit, dass das nicht sein kann und sollten einen zweiten Faktor anfordern und wenn der dann auch noch kommt, sollte das System das Konto hoffentlich sperren. :-) Gut, Streaming-Anbieter tun das schonmal nicht...

 

[Zentorno]

... eine eindeutige Erklärung habe ich auch nicht, dafür ist das Verhalten von Microsoft-Produkten zu intransparent und bekanntermassen berüchtigt. Vielleicht hat sich/hast Du Dich ohne es zu bemerken z.B. via MS-Store oder einem anderen impliziten MS-Service angemeldet ? Und dieser wird von MS noch als "Internet Explorer" erkannt? Oder ein Auto-Logon von Windows ? Beim Browserstart ? (MS-Edge z.B. ist berüchtigt für so etwas.)

Dann fällt auf dass beide IPV4 Adressen von 1&1 Versatel Deutschland GmbH sind. Das ist vermutlich Dein ISP, richtig ? Nun ist es so, daß Versatel vermutlich auch nicht immer dieselbe Route ins Internet verwendet und einmal via Knoten in Hannover Deinen Traffic ins Internet leitet und ein anderes Mal in Hamburg. Das wäre völlig normal.

Um dem wirklich auf den Grund zu gehen könntest Du die ausgehenden Verbindungen, wenn Du das Gerät benutzt mitschneiden* und danach diese Logs mit den Meldungen von Microsoft vergleichen.
Bis dahin würde ich -vorsichtig- behaupten dass kein Hack/Mißbrauch vorliegt ...

*z.B. mit tcpview64 oder mitmproxy

 

[Dr. McCoy]

Oben steht sichtbar Deine E-Mail-Adresse drin.

Abgesehen davon: Die IP-Adressen sehen allesamt so aus, als wären es Deine. Auch die aus "Hannover". Du bekommst dynamisch wechselnde IP-Adressen von Deinem Provider 1&1 zugeordnet, und einige verortet MS halt fälschlich mit Hannover. Das ist alles.

Nicht auszuschließen ist allerdings, dass Du Malware auf Deinem System hast. Wie ernst nimmst und setzt Du das Thema Sicherheit an PC & Co um?

 

[KnolleJupp]

Lösch bitte das zweite Bild, da steht deine eMail-Adresse.

 

[Jörg111]

Jemand anders hat ja nicht Deinen Rechner/Browser/Session-Cookie/Deine IP zur selben Zeit wo Du Dich zuletzt mit MFA angemeldet hast

OK aber anscheinend hat sich jemand trotzdem erfolgreich angemeldet wie es dort steht allerdings bezieht sich diese Meldung nur auf das Passwort und nicht auf MFA laut Aussage von Microsoft.
Die Meldung ist irritierend.

Ergänzung (6. Oktober 2021)

Um dem wirklich auf den Grund zu gehen könntest Du die ausgehenden Verbindungen, wenn Du das Gerät benutzt mitschneiden*

Das erscheint mir dann doch zuviel Aufwand.
Trotzdem danke für den Tipp.

Ergänzung (6. Oktober 2021)

Oben steht sichtbar Deine E-Mail-Adresse drin

Oh das ist mir entgangen. Danke. Das war aber nicht im Beitrag sondern in den Anhängen. Sieht man das trotzdem?
Jedenfalls hab ich es aus den Anhängen gelöscht.

Ergänzung (6. Oktober 2021)

Nicht auszuschließen ist allerdings, dass Du Malware auf Deinem System hast. Wie ernst nimmst und setzt Du das Thema Sicherheit an PC & Co um?

Ich hab bitdefender 😁

Ergänzung (6. Oktober 2021)

eine eindeutige Erklärung habe ich auch nicht

Ok damit ist es wahrscheinlich geklärt dass der Browser nicht meinem entspricht und das mit dem Standort auch.
Aber ich war an dem Tag nicht im Microsoft Konto.
Also wohl jemand anders oder loggen sich da automatisch Microsoft Dienste ein für bestimmte Windows Funktionen?
Microsoft Edge zb auch wenn ich den nicht nutze?
Was ist zb mit der Wetter und Nachrichten Info wenn man die in der Taskleiste anklickt? Wird da Login ins Konto gemacht? Allerdings wurde ich ja nicht nach Passwort gefragt.

Meinst du die Aussage von Microsoft ist korrekt dass sich erfolgreiche Anmeldung nur auf Passwort bezieht aber nicht auf MFA?
Also in dem Moment wo richtiges Passwort angegeben wird steht dort erfolgreiche Anmeldung... Auch wenn MFA nicht korrekt ist.

 

[Jörg111]

Kennt sich da niemand besser aus als ich? :-) (was nicht schwer sein dürfte)

 

[Jörg111]

Ich hab meine Fragen zum Punkt Anmeldeaktivitäten im Microsoft Konto zusammengefasst:
Vielleicht erbarmt sich jemand:

1)
Loggen sich automatisch Microsoftdienste im Microsoft Konto ein ohne dass ich mein Passwort eingeben muss und ist deshalb der genannte Browser nicht immer korrekt weil diese Anmeldungen mit Microsoft Browsern stattfinden (Edge oder Internet Explorer)? Werden unter Anmeldeaktivitäten nicht ausschliesslich die von mir manuell getätigten Anmeldungen aufgeführt? (Also wenn ich manuell mein Passwort eingebe)


2)
Und der Standort ist auch nicht immer 100 Prozentig richtig?

3)
Glaubt oder weiss jemand, dass bzw ob sich erfolgreiche Anmeldung nur auf das korrekte Passwort bezieht aber nicht auf MFA?

Dass man also nicht den MFA eingeben muss sondern es schon genügt, dass man das korrekte Passwort eingibt, damit erfolgreiche Anmeldung angezeigt wird?
Jedenfalls wollte Microsoft mir das weismachen.

4)
Da steht 9x zusätzliche Überprüfung angefordert. Hat da jemand 9x versucht den 2. Faktor einzugeben?

5)
Warum steht manchmal die IPV4 dort und manchmal die IPV6?

6)
Warum steht bei Android Zugriff: "Karte für Aktivitäten auf mobilen Geräten nicht verfügbar." ?
Standort Deutschland steht aber da.

Bei Windows Zugriff und wenn dort IPV6 steht, dann ist kein Standort verfügbar.
Bei Windows Zugriff und wenn dort IPV4 steht, dann ist der Standort aber verfügbar

Geht vielleicht technisch nicht anders aber damit kenne ich mich nicht aus. Vielleicht sollte mich das auch nicht interessieren. Vielleicht sind das interne Dinge von Microsoft. Aber ich bin zu wissbegierig und vielleicht sind ja hier Technik Insider.


7)
Warum werden nachträglich Dinge geändert in den Anmeldeaktivitäten?
Der alte Screenshot stimmt nicht überein mit dem was jetzt dort steht.
Letztens waren dort zehn zusätzliche Überprüfungen aber jetzt nur noch neun.
Bei einer anderen Anmeldung hat sich die Zahl der erfolgreichen Anmeldungen geändert.
Ausserdem ist die Reihenfolge der Anmeldeaktivitäten anders.

Siehe dazu Screenshots in meinem ersten Post ganz oben.