Sichere kennwortfreie Anmeldung mit Ihrem Microsoft-Konto via Sicherheitsschlüssel oder Windows Hello
Anm. d. Redaktion 26.11.2018:
Dieser Beitrag wurde mit Informationen zur kennwortfreien Anmeldung aktualisiert.
Hallo zusammen,
ich habe heute spannende Neuigkeiten für Sie! Ab sofort unterstützt Ihr Microsoft-Konto die sichere Anmeldung mit FIDO2-kompatiblen Standardgeräten völlig ohne Benutzernamen oder Kennwort! Mit FIDO2 können Benutzer Standardgeräte nutzen, um sich unterwegs oder in einer Desktopumgebung auf einfache Weise bei Onlinediensten zu authentifizieren. Die Funktionalität ist derzeit in den USA verfügbar, die weltweite Einführung folgt aber in den kommenden Wochen.
Die Lösung ist nicht nur benutzerfreundlich und sicher, sondern findet auch breite Branchenunterstützung und wird die Authentifizierung revolutionieren – sowohl zu Hause als auch am modernen Arbeitsplatz. Über 800 Mio. Menschen nutzen jeden Monat – beruflich oder privat – ein Microsoft-Konto für Outlook, Office, OneDrive, Bing, Skype und Xbox Live, um kreativ zu sein, sich zu vernetzen und Inhalte von praktisch überall zu teilen. Diese einfache Funktion verspricht allen jetzt mehr Sicherheit und eine höhere Benutzerfreundlichkeit.
Ab heute können Sie sich in Microsoft Edge per FIDO2-Gerät oder Windows Hello bei Ihrem Microsoft-Konto anmelden.
Wie das geht, erfahren Sie in diesem kurzen Video:
Microsoft möchte Benutzern helfen, auf Kennwörter zu verzichten und gleichzeitig ihre Daten und Konten vor Bedrohungen zu schützen. Als Mitglied der FIDO (Fast Identity Online)-Allianz und des World Wide Web Consortium (W3C) arbeiten wir gemeinsam mit anderen an der Entwicklung offener Standards für die Authentifizierung der nächsten Generation. Ich freue, mich bekanntzugeben, dass Microsoft als erstes Fortune 500-Unternehmen die kennwortfreie Authentifizierung unter Anwendung der WebAuthn- und FIDO2-Spezifikationen ermöglicht. Außerdem unterstützt Microsoft Edge verglichen mit anderen führenden Browsern die meisten Authentifizierer.
Lesen Sie weiter, wenn Sie Näheres zur Funktionsweise und zur Verwendung erfahren möchten.
Erste Schritte
So melden Sie sich mit einem FIDO2-Sicherheitsschlüssel bei Ihrem Microsoft-Konto an:
- Falls noch nicht geschehen, installieren Sie das Windows 10 October 2018 Update.
- Melden Sie sich wie gewohnt in Microsoft Edge auf der Seite für Ihr Microsoft-Konto an.
- Wählen Sie Sicherheit > Weitere Sicherheitsoptionen aus. Unter der Option Windows Hello und Sicherheitsschlüssel finden Sie Anweisungen zum Einrichten eines Sicherheitsschlüssels. (Sie können einen Sicherheitsschlüssel von einem Ihrer Partner wie Yubico und Feitian Technologies erwerben, die den FIDO2-Standard unterstützen.*)
- Bei der nächsten Anmeldung können Sie entweder auf Weitere Optionen > Sicherheitsschlüssel verwenden klicken oder Ihren Benutzernamen eingeben. An diesem Punkt werden Sie aufgefordert, einen Sicherheitsschlüssel für die Anmeldung zu verwenden.
Hier zur Erinnerung, wie Sie sich mit Windows Hello bei Ihrem Microsoft-Konto anmelden:
- Sie müssen über das Windows 10 October 2018 Update verfügen.
- Falls noch nicht geschehen, müssen Sie Windows Hello einrichten. Wenn Sie Windows Hello bereits eingerichtet haben, können Sie direkt loslegen.
- Bei der nächsten Anmeldung in Microsoft Edge können Sie entweder auf Weitere Optionen > Windows Hello oder Sicherheitsschlüssel verwenden klicken oder Ihren Benutzernamen eingeben. An diesem Punkt werden Sie aufgefordert, Windows Hello oder einen Sicherheitsschlüssel für die Anmeldung zu verwenden.
Falls Sie weitere Hilfe benötigen, informieren Sie sich in unserem ausführlichen Hilfeartikel über die Einrichtung.
*Die FIDO2-Spezifikation enthält eine Reihe optionaler Funktionen, die wir als sicherheitsrelevant ansehen. Daher sind nur Schlüssel geeignet, die über diese Funktionen verfügen. Unter Was ist ein Microsoft-kompatibler Sicherheitsschlüssel? finden Sie weitere Informationen.
So funktioniert’s
Hinter den Kulissen haben wir die WebAuthn- und FIDO2 CTAP2-Spezifikationen in unsere Dienste implementiert.
FIDO2 schützt Anmeldeinformationen nicht durch Kennwörter, sondern durch die Verschlüsselung mit einem privaten/öffentlichen Schlüssel. Wenn Sie FIDO2-Anmeldeinformationen erstellen und registrieren, werden auf dem Gerät (Ihrem PC oder FIDO2-Gerät) ein privater und ein öffentlicher Schlüssel erzeugt. Der private Schlüssel wird sicher auf dem Gerät gespeichert und kann erst verwendet werden, nachdem er durch eine lokale Geste, beispielsweise biometrische Daten oder eine PIN, entsperrt wurde. Beachten Sie, dass Ihre biometrischen Daten oder Ihre PIN das Gerät nie verlassen. Während der private Schlüssel gespeichert wird, wird gleichzeitig der öffentliche Schlüssel an das Microsoft-Kontosystem in der Cloud gesendet und mit Ihrem Benutzerkonto registriert.
Wenn Sie sich später anmelden, übermittelt das Microsoft-Kontosystem an Ihren PC oder Ihr FIDO2-Gerät eine Nonce. Der PC bzw. das Gerät verwendet dann den privaten Schlüssel, um die Nonce zu signieren. Die signierte Nonce wird zusammen mit signierten Metadaten zurück an das Microsoft-Kontosystem gesendet, wo sie unter Verwendung des öffentlichen Schlüssels verifiziert werden. Die signierten Metadaten enthalten gemäß den WebAuthn- und FIDO2-Spezifikationen Informationen, die beispielsweise angeben, ob der Benutzer anwesend war. Außerdem wird mit den Metadaten die Authentifizierung durch die lokale Geste verifiziert. Diese Eigenschaften verhindern, dass die bei der Authentifizierung mit Windows Hello und FIDO2-Geräten ausgetauschten Informationen durch Phishingversuche oder Schadsoftware ausgespäht werden können.
Wie wird diese Funktion von Windows Hello und FIDO2-Geräten implementiert? Abhängig von den Fähigkeiten Ihres Windows 10-Geräts verfügen Sie entweder über einen integrierten abgesicherten Bereich in Form eines Hardware-TPMs (Trusted Platform Module) oder eines Software-TPMs. Im TPM wird der private Schlüssel gespeichert, der entweder per Gesichtserkennung, Fingerabdruck oder PIN entsperrt werden kann. Ein FIDO2-Gerät ist ein kleines, mit einem Sicherheitsschlüssel vergleichbares externes Gerät, das einen integrierten abgesicherten Bereich aufweist, in dem der private Schlüssel gespeichert wird, der wiederum nur mit biometrischen Daten oder einer PIN entsperrt werden kann. Beide Optionen ermöglichen die zweistufige Authentifizierung in nur einem Schritt. Allerdings werden ein registriertes Gerät und biometrische Daten oder eine PIN benötigt, damit die Anmeldung erfolgreich verläuft.
Alle technischen Details rund um die Implementierung finden Sie im Artikel in unserem Identity Standards-Blog.
So geht es weiter
Bei unserem Ansatz, teilweise oder vollständig auf Kennwörter zu verzichten, sind zahlreiche spannende Ideen entstanden. Wir arbeiten gerade an derselben Anmeldefunktion für einen Browser, die Sicherheitsschlüssel für Geschäfts-, Schul- oder Unikonten in Azure Active Directory vorsieht. Unternehmenskunden können diese Neuerung Anfang des Jahres in einer Preview erproben. So können Mitarbeiter beispielsweise eigene Sicherheitsschlüssel für ihr Konto einrichten, um sich bei Windows 10 und der Cloud anzumelden.
Da immer mehr Browser und Plattformen die WebAuthn- und FIDO2-Standards unterstützen, wird die kennwortfreie Anmeldung – die bisher nur in Microsoft Edge und Windows angeboten wird – hoffentlich bald flächendeckend verfügbar sein!
Informieren Sie sich Anfang des Jahres über weitere Details.
Beste Grüße,
Alex Simons (@Twitter: @Alex_A_Simons)
CVP of Program Management
Microsoft Identity Division