Das Einschalten wie auch die Anmeldung bei einem Microsoft Windows-basierten PC erfolgt wesentlich schneller als man es von früher gewohnt ist.
Vor Jahren musste man dazu in der Regel einen langen Startvorgang durchlaufen und dann ein kompliziertes Passwort eingeben, nur um Zugang zum System zu erhalten. Das Vergessen der richtigen Anmeldedaten war mit viel Aufwand verbunden, da entweder ein vom Administrator initiierter Reset für ein Domänenkonto oder die Verwendung eines Passworthinweises oder einer auf einem USB-Flash-Laufwerk gespeicherten Reset-Diskette erforderlich war.
Die Verwendung von nicht lokalen Microsoft-Konten mit einfachen Rücksetzmöglichkeiten als Anmeldekonten für Windows 10-Geräte hat das Leben etwas einfacher gemacht. Außerdem hat der Austausch von Festplattenlaufwerken durch Solid-State-Laufwerke den gesamten Startvorgang erheblich beschleunigt. Aber der erforderliche Aufwand bei den Passwörtern besteht nach wie vor.
Passwortbasierte Sicherheit belastet sowohl die Endbenutzer als auch die IT-Administratoren:
- Die Benutzer müssen sich komplexe und eindeutige Passwörter merken und eingeben, die die Mindestanforderungen an Länge, Verwendung von Sonderzeichen und Ausschluss ihres Kontonamens erfüllen.
- Admins müssen die entsprechenden Passwort-Einstellungen konfigurieren und häufige Resets durchführen. Gartner hat geschätzt, dass zwischen 20 und 50 % aller Helpdesk-Anfragen auf Passwortrücksetzungen abzielen.
In diesem Zusammenhang bieten Windows Hello for Business und sein verbraucherorientiertes Pendant Windows Hello eine immense Erleichterung.
Der Unterschied zwischen Windows Hello for Business versus Windows Hello
Diese beiden Lösungen setzen eine starke Zwei-Faktor-Authentifizierung (2FA oder MFA für die Multi-Faktor-Authentifizierung) über Möglichkeiten wie Biometrie und lokale PINs um, die traditionelle Passwörter während des Anmeldevorgangs ersetzen; mehr über 2FA/MFA erfahren Sie in unserem Blog zu diesem Thema. Als solche bieten beide eine ideale Kombination aus Komfort und Sicherheit, mit größerer Benutzerfreundlichkeit und stärkerem Schutz, als es textbasierte Passwörter jemals bieten könnten.
Trotz ihrer fast identischen Namen unterscheiden sich die beiden jedoch stark voneinander. Windows Hello ist relativ einfach und verwendet biometrische Verfahren, nämlich das Lesen von Fingerabdrücken, das Scannen der Iris und die Gesichtserkennung, wobei die integrierte Kamera oder der Fingerabdruckleser eines Geräts oder kompatible externe Hardware verwendet werden. Obwohl Windows Hello for Business ebenfalls biometrische Daten nutzen kann, hat es eine komplexere Architektur, die asymmetrische Schlüsselpaare zusammen mit Geräte-PINs verwendet. Wir werden später auf einige der technischen Details und die Funktionsweise eingehen, um aufzuzeigen, wie es die traditionelle Passwortsicherheit übertrifft.
All diese zusätzliche Komplexität ermöglicht zudem ein viel breiteres, unternehmensorientiertes Funktionsspektrum zu unterstützen. Geräte, die vollständig für Windows Hello for Business konfiguriert sind, können sich damit bei einem Active Directory-, Azure Active Directory- oder Microsoft-Konto anmelden. Die Unterstützung von Drittanbietern für Authentifizierungslösungen, die sich an den FIDO2-Standard halten, ist seit Oktober 2019 in Arbeit. Der Kensington VeriMark IT-Fingerabdruckscanner unterstützt auch FIDO2 im Rahmen einer Microsoft-Umgebung.
Darüber hinaus können Windows Hello für Business-Geräte die Vorteile von Single Sign-On (SSO) nutzen oder, mit zertifikatsbasierten PINs, den Fernzugriff über ein VPN ermöglichen, ohne dass eine zusätzliche Multifaktor-Authentifizierung mit Telefonverifizierung erforderlich ist. Dies sind beides entscheidende Vorteile für die zunehmend entfernt arbeitenden Mitarbeiter von heute, die einen optimierten Zugriff auf mehrere wichtige Anwendungen und Dienste benötigen, ohne sich durch die Hürden komplexer Passwörter und langwieriger Rückstellungsanforderungen zu kämpfen.
Alles in allem vereint Windows Hello for Business seine ausgeklügelte Funktionalität mit einer intuitiven und unkomplizierten Anwendung für Endbenutzer, ganz zu schweigen von einer besser verwaltbaren Sicherheitsarchitektur für IT-Administratoren. Schauen wir uns an, wie es auf technischer Ebene funktioniert und warum es Passwörtern vorzuziehen ist.
Wie Windows Hello for Business funktioniert und warum es besser als Passwörter ist
Im Kern bietet Windows Hello for Business einen neuen, passwortfreien Berechtigungsnachweis für Windows 10-Geräte. Es implementiert 2FA/MFA, d.h. eine mehrschichtige Sicherheit, die viel schwieriger zu umgehen ist als ein Schutz, der ausschließlich von einer korrekten Kombination aus Benutzername und Kennwort abhängt.
Ein Desktop- oder Mobilgerät, das nur mit dieser Art von Ein-Faktor-Authentifizierung gesichert ist, ist angreiffbar, wenn seine Anmeldeinformationen gestohlen oder erfolgreich erraten werden und so den unbefugten Zugriff und möglichen Datenklau ermöglicht. Ein-Faktor-Konten sind besonders durch Phishing-Angriffe gefährdet, die versuchen, an Login-Daten per E-Mail zu gelangen.
Laut PhishMe-Forschung beginnen über 90 % der Datenverstöße mit einer Spear-Phishing-E-Mail. Phishing ist im Laufe der Zeit immer raffinierter geworden, wobei in einigen Fällen echt aussehende Anmeldeseiten verwendet werden, die in Wirklichkeit trügerische Fake-Websiten sind. Zusätzlich zu Phishing sind Passwörter auch für andere Bedrohungen anfällig, wie z.B. Replay-Angriffe oder jede andere Kampagne, die möglicherweise auf einem Server gespeicherte Anmeldedaten preisgeben könnte.
Mit dem starken 2FA durch Windows Hello for Business entfallen diese besonderen Risiken. Für die Authentifizierung in das Konto eines Zielbenutzers ist mehr als nur der Besitz seines physischen Geräts und seines privaten Schlüssels (starke Referenz) erforderlich. Jeder Angreifer müsste auch entweder die spezifische PIN kennen oder die mit ihrer verbundenen biometrischen Berechtigung haben, um auf denselben Schlüssel zugreifen zu können. Ein Modell der Implementierung von Windows Hello for Business verfügt über mehrschichtige Abwehrmechanismen, von denen jeder einzelne für einen unbefugten Benutzer nur schwer zu umgehen ist.
Das Gerät selbst
Die starken Referenzen von Windows Hello for Business sind an bestimmte Geräte mit privaten Schlüsseln oder Zertifikaten gebunden. Es kann entweder die Public-Key-Infrastruktur (PKI) eines Unternehmens oder eine zertifikatsbasierte Authentifizierung verwenden. Welches davon vorzuziehen ist, hängt davon ab, ob ein Unternehmen Endbenutzerzertifikate für seine Benutzer ausstellen möchte und welche spezifische Version von Windows Server-Domänencontrollern es installiert hat. Zertifikatsorientierte Implementierungen sind ähnlich wie Smart Cards/virtuelle Smart Cards, da sie Ablaufzeiten und Erneuerungen verwaltet haben.
Die Untersuchung aller möglichen Implementierungsoptionen liegt außerhalb unserer Möglichkeiten, daher wollen wir uns nur eine davon näher ansehen. Für eine hardwareorientierte Einrichtung mit PKI wird Windows Hello for Business auf den einzigartigen, manipulationssicheren TPM-Chip (Trusted Platform Module) zurückgreifen, der im Gerät enthalten ist, um den privaten Schlüssel zu erzeugen und zu schützen. Da der TPM-Chip ein dediziertes kryptographisches Hardware-Element ist, das in die Hauptplatine eines PCs oder mobilen Geräts integriert ist, verlässt der private Schlüssel das Gerät nie. Ebenso werden die Fingerabdruckprofile in VeriMark-Lösungen in einem TPM gespeichert.
In der Zwischenzeit wird ein öffentlicher Windows Hello for Business-Schlüssel durch den Authentifizierungsserver, der als Identitätsprovider Active Directory, Azure Active Directory oder ein Microsoft-Konto verwenden kann, dem Gerät zugeordnet. Der resultierende Benutzerschlüssel (d.h. der TPM-geschützte private Schlüssel auf einem registrierten Gerät und der serverregistrierte öffentliche Schlüssel) ist ein Faktor in der starken Second-Factor-Authentifizierungsstruktur von Windows Hello for Business.
Die Paarung der beiden Schlüssel authentifiziert den Benutzer gegenüber seinem Konto, aber erst, nachdem er etwas anderes bereitgestellt hat, um zu beweisen, dass er der vertrauenswürdige Besitzer des privaten Schlüssels ist, nämlich eine PIN oder ein biometrischer Berechtigungsnachweis. Die Gesamtkombination stellt sicher, dass jede Anmeldung etwas enthält, das der Benutzer besitzt (das Gerät/der private Schlüssel), kennt (die PIN) und/oder ist (Biometrie).
PIN
Auf den ersten Blick mag es so aussehen, als ob eine Windows Hello for Business PIN nur ein Passwort mit einem anderen Namen ist, da es sich um eine Buchstabenkombination handelt, die man nicht vergessen soll. Aber in der Praxis unterscheiden sie sich deutlich.
Zunächst einmal ist eine PIN an ein bestimmtes Gerät gebunden. Selbst wenn jemand die PIN kennt, braucht er die Hardware, der sie entspricht, ebenfalls. Das ist bei Passwörtern nicht der Fall, die für die Anmeldung von praktisch überall und unabhängig vom Gerät verwendet werden können.
Die PIN wird auch lokal gespeichert und erreicht nie einen entfernten Server. Folglich besteht keine Aussicht auf eine massive Datenverletzung, die die PIN offenlegen würde. Eine korrekte PIN entsperrt einfach den privaten Schlüssel, der die Anfrage an den Authentifizierungsserver signiert.
Bei Geräten mit TPM-Chips verhindern eingebaute Anti-Hammering-Maßnahmen das Rätselraten selbst einfacher PINs, falls das Gerät verloren oder gestohlen werden sollte. Mehrere Fehlversuche führen dazu, dass das Gerät gesperrt wird und der private Schlüssel nicht mehr zugänglich ist.
Admins können auch Komplexitätsanforderungen für PINs, wie bei Passwörtern, innerhalb von Microsoft Intune festlegen. Die PIN ist auch dann erforderlich, wenn eine biometrische Anmeldung bevorzugt wird, da sie einen Rückgriff ermöglicht, wenn der Fingerabdruckscanner oder eine andere spezielle Technologie nicht funktioniert oder anderweitig nicht verfügbar ist.
Die biometrische Authentifizierung
Die biometrische Authentifizierung stellt den bequemsten und sichersten zweiten Faktor für Windows Hello for Business dar. Ein Benutzer gibt einen Fingerabdruck oder einen Gesichts-/Iris-Scan primär für den Zugriff auf seine gerätespezifischen Anmeldedaten vor, während die PIN als erforderliche Sicherungsoption dient.
Die Verwendung von Windows Hello for Business kompatiblen biometrischen Geräten ist aus mehreren Gründen vorteilhaft:
- Der Fingerabdruck oder die Gesichtsform einer Person ist schwer zu stehlen oder auf zuverlässige Weise zu verfälschen, da sie für jede Person einzigartig ist
- Das Einloggen mit biometrischen Geräten ist sehr einfach und erfordert nur einen schnellen Blick oder eine schnelle Platzierung des Fingers
- Die biometrischen Daten selbst werden nur auf dem lokalen Gerät gespeichert und niemals an einen Server übertragen, wodurch die Möglichkeit sich aus der Ferne Zugang und Berechtigungen zu verschaffen vermieden wird
Darüber hinaus besteht Flexibilität bei der Frage, welche Arten von Hardware zur Implementierung der Biometrie in Windows Hello for Business verwendet werden können. Zu den wichtigen Merkmalen, die es zu berücksichtigen gilt, gehören die Falsch-Akzeptanzrate und Falsch-Zurückweisungsrate für die biometrische Anmeldung.
Der Kensington VeriMark IT-Fingerabdruckscanner hat Raten, die weit über die Mindestanforderungen für Windows Hello konforme Lösungen hinausgehen. Seine Match-in-Sensor-Technologie, die Kompatibilität mit den kennwortlosen FIDO2-Authentifizierungsstandards und sein kompaktes Design machen ihn außerdem äußerst zuverlässig und vielseitig einsetzbar. Die VeriMark-Lösungen sind eng auf Windows Hello for Business abgestimmt und sind entscheidende Komponenten bei der Implementierung der Plattform in einem Unternehmenskontext.
Weitere Vorteile von Windows Hello for Business
Neben den erheblichen Vorteilen gegenüber der kennwortbasierten Authentifizierung besticht Windows Hello for Business auch durch seine breite Kompatibilität mit bestehenden Unternehmensinfrastrukturen und -funktionen.
Flexible Vor-Ort-, Cloud- und Hybrid-Optionen
Unternehmen können Windows for Business vor Ort, in der Cloud oder in einer hybriden Umgebung, die beides miteinander verbindet, bereitstellen. Die Art der Implementierung wirkt sich auf die verwendbaren Identity Provider aus und darauf, welche Arten von zusätzlichen Faktoren für 2FA/MFA während der initialen Bereitstellung des starken Berechtigungsnachweises verwendet werden können.
Cloud- und Hybrid-Bereitstellungen verwenden Azure Active Directory, während eine On-Prem-Bereitstellung auf einem Windows Server 2016 Active Directory Federation Services basiert. Darüber hinaus können Cloud- und Hybrid-Implementierungen von Windows Hello for Business während der Einrichtung der starken Referenz eine breitere Palette zusätzlicher Faktoren akzeptieren, um sicherzustellen, dass der private Schlüssel an ein Gerät im Besitz eines vertrauenswürdigen Benutzers ausgegeben wird.
Zertifikate und anpassbare Microsoft Intune-Konfigurationen
Wir haben bereits die zertifikatsbasierten Formen von Windows Hello for Business erwähnt. Diese ähneln den bestehenden Smartcard- oder virtuellen Smartcard-Szenarien und können über Microsoft Intune verwaltet werden.
Innerhalb von Intune ist es auch möglich, während der Geräteregistrierung eine unternehmensweite Richtlinie zu erstellen. Die Administratoren können Spezifikationen wie PIN- und biometrische Anforderungen festlegen und entscheiden, ob die registrierten Geräte mit TPM-Chips ausgestattet sein müssen.
SSO und Fernzugriff für Windows Hello für Business-Geräte
Da Windows Hello for Business jemanden bei einem Active Directory- oder Azure Active Directory-Konto authentifizieren kann, wird auch SSO unterstützt. Über SSO können sich Benutzer bei mehreren Diensten mit einem gemeinsamen Satz von Anmeldeinformationen anmelden und müssen diese nicht für jede Anwendung einzeln erneut eingeben.
Das zertifikatbasierte Windows Hello for Business ist auch vollständig mit dem Windows 10 VPN-Client kompatibel. Sobald der richtige biometrische Zugriff oder PIN angegeben wurde, verwendet der VPN das Zertifikat, um die Verbindung des Benutzers zu authentifizieren.
Eine geringere Sicherheitsbelastung für die IT
Windows Hello for Business ersetzt Kennwörter in allen gängigen Situationen, mit Ausnahme der erstmaligen Bereitstellung seiner sicheren Anmeldeinformationen. Das bedeutet, dass die IT nicht so viel Zeit in das Zurücksetzen der Benutzerkennwörter und das Überprüfen ihrer Identität investieren muss.
Jeder Moment, den der Helpdesk für das Zurücksetzen von Passwörtern ausgibt, kann nicht für strategischere Projekte verwendet werden. Windows Hello for Business ist nicht nur sicherer als ein Kennwort, sondern auch skalierbarer, nachhaltiger und kostengünstiger.
Erste Schritte mit Windows Hello for Business
Microsoft hat eine nützliche Anleitung zum Planen einer Windows Hello for Business-Bereitstellung veröffentlicht. Wenn Sie näher auf die Details eingehen, sollten Sie sich überlegen, welche Arten der biometrischen Authentifizierung Sie in Ihre Implementierung integrieren möchten.
Biometrische Lösungen von Kensington wie der neue VeriMark IT-Fingerabdruckschlüssel unterstützen Windows Hello for Business und können zur Unterstützung einer starken Zwei-Faktor-Authentifizierung verwendet werden. Erfahren Sie mehr auf unserer Biometrie-Seite oder laden Sie das eBook Moving Past the Password mit VeriMark und VeriMark IT herunter.