Follow

Microsoft promotet gerade seine MS Authenticator-App. Ich sage: Finger weg! Die App verstößt nicht nur gegen die DSGVO, sondern bindet in ein sicherheitskritisches Anwendungsszenario auch noch sechs Tracker ein.

kuketz-blog.de/microsoft-authe

@kuketzblog hatte ich eben schon soweit hab aber vllt. Was überlesen und ich kenn die DSGVO nicht im Detail und da fragt mayn sich warum diese Apps nicht verboten werden oder was dagegen unternommen wird...

@Mixtape Das Tracking ohne eine vorige freie, informierte Einwilligung eingeholt zu haben, dürfte einen Verstoß gegen die DSGVO darstellen.

@Mixtape Der war gut. Danke, du hast mich mal wieder zum Lachen gebracht. Was gegen Microsoft unternehmen, oder, warte, eine App von Microsoft verbieten! Köstlich, dein Humor. @kuketzblog

@Mixtape @kuketzblog Sie ist ja verboten. Die Durchsetzung braucht halt immer ein paar Jahre.

@albert_magellan @Mixtape @kuketzblog Wo ist denn dieser Nachweis hinterlegt?? Wäre mir jetzt nicht bekannt.

@Mixtape @kuketzblog
"Denn schon bevor der Nutzer überhaupt die Möglichkeit zu einer Einwilligung hat, werden die Tracking-Anbieter bereits kontaktiert und mit Daten beliefert."
Dies ist laut einschlägigen Gerichtsurteilen bis zum EuGH nicht zulässig. Es gilt der Grundsatz: "Erst fragen, dann ggf. tracken".
Dieses App-Verhalten ist also ein klarer Verstoß gegen die gerichtlich bestätigte Rechtslage der DSGVO.
#NiewiederMicrosoft

@kuketzblog "Abschließend wirft sich die Frage auf, wem die Umstellung auf die Microsoft Authenticator-App eigentlich nutzt. Microsoft oder seinen Kunden?" – Von letzteren haben sich mehrere mit Händen und Füßen dagegen gewehrt, wurden dann jedoch zur Nutzung genötigt. Ich denke, das beantwortet die Frage.

@IzzyOnDroid @kuketzblog
Also bis jetzt konnte ich den Quatsch mit FreeOTP+ ganz gut machen.

Wo Mickeysoft einen zweiten Faktor verlangt kann man immer angeben "alternative App" (oder ähnlich) und bekommt einen QR-Code oder ein Secret womit FreeOTP+ umgehen kann.

@nahtanoy Nicht wenn Deine Firma das für die eigenen Services einsetzt. Dann erfährt MS immer, welcher MA sich gerade wann bei welchem Dienst (in-house, wohlgemerkt) anmeldet: Anmeldemaske ausfüllen → ping geht nach Redmond → MS schickt Push Notification → User bestätigt → Redmond bestätigt dem in-house service.

@kuketzblog Ich verstehe immer noch nicht warum man Apps wie den Google oder Microsoft Authenticator nutzen sollte, wenn es Apps wie Authy oder AndOTP gibt

@kuketzblog
Also schon morgen bereits im Einsatz bei Behörden und Ämtern.
Ich freue mich drauf.

@kuketzblog
Korrektur, ziehe den Beitrag zurück. Würde ja heißen das bei Ämtern und Behörden irgendwas schnell geht. Das ist natürlich absoluter Unsinn. Ich bitte um Entschuldigung.

Selbst Google Authenticator hat keine Tracker 😬.
Aber Internetzugriff
🤨

@kuketzblog

Mein #adblocker (#adguard) scheint die schlimmsten Tracker Domains zu blockieren. Im Log kann ich beim Öffnen des MS #authenticator keine fragwürdigen Domains erkennen, nur solche von Microsoft. Aber ich nutze den Authenticator ohnehin nur für etwaige O365 Anmeldungen (dienstlich). Privat nutze ich nur FOSS OTP Apps, bspw. RaivoOTP (iOS).

@kuketzblog Der OTP Authenticator 0.1.1 von Bruno Bierbaumer aus 2015, aus @IzzyOnDroid s F-Droid-Store, tut hier seit Jahren seinen verlässlichen Dienst, auch da, wo mir erzählt wird, nur Microsofts oder Googles Authenticator könne hier funktionieren.

@kuketzblog
But if anyone is into the M$ ecosystem of office apps, its impossible to keep them away. Especially work apps, that require proprietary ways of approval requests from the ms authenticator app.

@kuketzblog

KeepassXC und KeepassDX integrieren die OTP - Verwaltung gut. Dadurch kommt man (je nach Bedürfnissen) auch gut ohne Authenticator-App aus. Auch über mehrere Geräte hinweg.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!