Flexible Security for Your Peace of Mind

Multi-Faktor-Authentisierung (MFA) für Windows mit Windows Hello for Business – eine Analyse

Multi-Faktor-Authentisierung (MFA) ist Pflicht! Das bekannte Mantra der IT-Sicherheitsexperten gilt jetzt auch wörtlich, zumindest für als wichtig eingestufte Organisationen (Stichwort NIS-2) und für Cloud-Anwender: AWS und Azure haben begonnen, bei wichtigen Konten die Verwendung von Multi-Faktor-Authentisierung zu erzwingen. Bei AWS betrifft das die sogenannten Root-User, bei Azure alle Benutzer mit administrativen Aufgaben, die sich bei bestimmten Diensten anmelden.

Das dürfte aber nur der Anfang sein. Es ist davon auszugehen, dass der Kreis von Unternehmen, die für bestimmte Konten MFA einführen müssen, weiter wachsen wird. Und wer die Sicherheit seiner Netzwerke wirklich ernst nimmt, sollte das tatsächlich tun, wo immer es geht, denn auch Konten mit eingeschränkten Rechten können Einfallstore für Hacker sein.

Viele Unternehmen haben das erkannt und suchen nach einer kostengünstigen Lösung, um Multi-Faktor-Authentisierung umzusetzen. Microsoft bewirbt dafür intensiv Windows Hello for Business – Grund für uns, dieses Werkzeug einmal eingehender zu betrachten. Wir klären zuerst noch einmal kurz, was MFA genau bedeutet, stellen Ihnen dann Windows Hello for Business näher vor und überprüfen, was es in Sachen Multi-Faktor-Authentisierung leistet.

Was ist Multi-Faktor-Authentisierung (MFA)?

Um die Sicherheit von Konten zu erhöhen, fügt die Multifaktor-Authentisierung (MFA) der herkömmlichen Authentisierung mit Benutzername und Passwort weitere Überprüfungsstufen hinzu (Microsoft übersetzt es mit „mehrstufige Authentifizierung“). Bei der MFA müssen die Benutzer mindestens zwei voneinander unabhängige Arten von Anmeldeinformationen aus den Kategorien „Wissen“, „Besitz“ oder „Inhärenz“ angeben – das sind die verschiedenen „Faktoren“:

  • Faktor Wissen: Informationen, die nur die sich anmeldende Person kennen sollte, wie Login-Daten (Benutzername plus Passwort), Antworten auf Sicherheitsfragen oder PINs
  • Faktor Besitz: Nachweis des Besitzes einer physischen oder digitalen Sache (Security Token), etwa Mobiltelefon, Rechner, Security-Stick oder Chipkarte, z. B. über deren ID, dort gespeicherte oder generierte Schlüssel oder Einmalpasswörter (One Time Password, OTP)
  • Faktor Inhärenz (charakteristische Eigenschaft): Nachweis einzigartiger biometrischer Merkmale einer Person etwa durch Fingerabdruck-, Stimm- oder Gesichtserkennung, Iris- oder Netzhautscan.

Durch die Kombination dieser Faktoren wird die Wahrscheinlichkeit eines unbefugten Zugriffs erheblich reduziert. Selbst wenn ein Faktor kompromittiert wird, müssen Angreifer immer noch die anderen Faktoren überwinden, um Zugriff zu erhalten.

Was ist Windows Hello?

Um Windows Hello for Business zu verstehen, sollten wir zunächst kurz über Windows Hello sprechen. Sicherlich ist Ihnen Windows Hello schon begegnet. Zuerst veröffentlicht 2015 für Windows 10, wird es von Microsoft als Weg zum passwortlosen Login vermarktet: Microsoft möchte uns den umständlichen Umgang mit starken Passwörtern ersparen, wenn wir uns an einem Windows-Rechner anmelden. Mit Windows Hello können wir dafür ein biometrisches Verfahren nutzen, vorzugsweise Gesichtserkennung per Infrarotkamera oder Fingerabdruckscan, oder eine PIN eingeben.

Ursprünglich bezeichnete Windows Hello nur die Biometrie-Funktionalitäten, die auch für lokale Anmeldungen verwendet werden können und dann einfach das Passwort ersetzen. Das begleitende Framework für Zwei-Faktor-Authentisierung mit asymmetrischer Verschlüsselung nach FIDO-Standard hieß zu Anfang noch Microsoft Passport; später sprach Microsoft dann nur noch von Windows Hello.

Für die Nutzung von Passport war ein Netzwerkkonto erforderlich, entweder ein Microsoft-Konto, ein Konto in Active Directory (Windows Server oder Azure) oder bei einem FIDO-fähigen Webdienst. Microsoft ist seit 2013 FIDO-Mitglied und entwickelte Passport von Anfang an basierend auf FIDO-Standards und deren Weiterentwicklung zu FIDO2 (zuerst vorgeschlagen ebenfalls 2015, als Hello erschien). Seit 2019 ist Hello auch als FIDO2-Authenticator zertifiziert.

FIDO2 haben wir schon einmal kurz in unserem Blogbeitrag zur passwortlosen Anmeldung ans Active Directory vorgestellt. Kurz zur Erinnerung: Dabei kommt eine Public-Key-Infrastruktur (PKI) zum Einsatz, um Geräte als vertrauenswürdig zu identifizieren. Für jeden Webdienst werden ein öffentlicher und ein privater Schlüssel generiert. Der private Schlüssel wird verschlüsselt auf dem Gerät gespeichert (vorzugsweise im hochsicheren Trusted Platform Module, kurz TPM), während der öffentliche Schlüssel an den Webdienst übertragen und mit dem Benutzerkonto verknüpft wird. Bei jeder Anmeldung kommt ein Challenge-Response-Verfahren zur Anwendung: Das Gerät signiert die „Challenge“ vom Webdienst (eine einmalige Zufallszahl, Nonce) mit dem privaten Schlüssel und schickt das Ergebnis als „Response“ an den Webdienst zurück, der die Signatur mit dem öffentlichen Schlüssel überprüfen kann. Indem das Gerät beweist, dass es bzw. sein Besitzer im Besitz des privaten Schlüssels ist, fungiert es als sogenannter Authenticator. Es kann ein USB-Stick sein, ein Smartphone mit einer App oder eben ein Windows-Rechner mit Windows Hello. Um die Sicherheit zu erhöhen, kann der Authenticator per Biometrie oder PIN gesichert werden. Das nutzt auch Hello, wo sich eine anmeldende Person vor dem Login identifizieren muss.

Und was ist Windows Hello for Business?

Aber was ist nun Windows Hello for Business? Microsoft bezeichnet Windows Hello for Business (WHfB) als eine Erweiterung des Biometrie-Frameworks Windows Hello, welche (wie früher Passport) nur für nicht lokale Konten zuständig ist und zusätzliche Sicherheits- und Verwaltungsfunktionen für den Unternehmenseinsatz bereitstellt. Dazu gehören die Unterstützung zertifikatebasierter Authentisierung, Geräteattestierung (Bestätigung von Vertrauenswürdigkeit und Integrität), mehr MFA-Funktionen oder die Verwaltung über Richtlinien, darunter Richtlinien für bedingten Zugriff (Conditional Access). Kleine historische Nebenbemerkung: Als Microsoft noch Hello und Passport unterschied, gab es für Unternehmen schon Passport for Work mit mehr Verwaltungsoptionen.

Specops Password Auditor Reports
Schlummern gestohlene Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Bietet Windows Hello for Business Multi-Faktor-Authentisierung?

Microsoft spricht im Zusammenhang mit Windows Hello for Business von Zwei-Faktor-Authentisierung. Das gilt aber nicht zwingend auch für Windows Hello selbst. Denn „passwortlose Anmeldung“ heißt nicht, dass es kein Passwort mehr gibt. Konten sind weiterhin per Passwort geschützt; mit Windows Hello muss das nur nicht mehr eingegeben werden. Stattdessen reicht die Eingabe einer PIN („Convenience PIN“); wenn die stimmt, nutzt das System im Hintergrund das Passwort zum (lokalen) Einloggen. Da die PIN kryptografisch an das Gerät gebunden ist und nie an irgendwelche Server übertragen wird, ist sie dennoch deutlich sicherer als das Passwort selbst. Alternativ kann für die PIN auch einer der biometrischen Faktoren (Gesicht, Fingerabdruck) genutzt werden.

Bei WHfB ist aus Sicherheitsgründen die Convenience PIN nicht verfügbar. Dennoch reicht noch immer eine PIN für die Anmeldung aus. Warum nennt Microsoft das dann aber Zwei-Faktor-Authentisierung?

Das Denken dahinter: Um ein Gerät für die Anmeldung mit Windows Hello for Business verwenden zu können, muss es zunächst bei einem Identity Provider wie Microsoft Entra oder Active Directory registriert werden. Später zählt dann als erster Faktor der Authentisierung bereits der Besitz des registrierten Geräts, welches bei einer Anmeldung verwendet wird (bzw. des darauf gespeicherten privaten Schlüssels). Faktor 2 wiederum wird bei der lokalen Anmeldung an diesem Gerät wirksam, entweder als biometrischer Faktor (Inhärenz) oder als PIN (Wissen). Im Hintergrund wird durch den zweiten Faktor der private Schlüssel freigeschaltet, mit welchem die an den Authentisierungsserver gesendete Response signiert werden muss.

Mögliche Probleme

Aus dem Konzept von Windows Hello for Business ergeben sich einige potenzielle Probleme.

1. PIN ausspionieren: Weil ein registriertes Gerät als Authentisierungsfaktor zählt, sollen sich anmeldende Personen sich jedes Mal am Gerät identifizieren. Die Mindestanforderungen dafür sind aber vergleichsweise gering: Wie schon erwähnt, reicht auch bei WHfB im Standard dafür eine PIN mit mindestens vier Zeichen, wenn Biometrie nicht verfügbar oder gewünscht ist. Wenn jemand die Eingabe dieser PIN beobachtet („Shoulder Surfing“) und physischen Zugang zum Gerät hat, kann sich diese Person bei einem fremden Account einloggen.

Microsoft propagiert deshalb die Nutzung biometrischer Faktoren statt PIN. Wem das nicht reicht, der kann per „Multifactor Unlock“ erzwingen, dass zwei unabhängige Faktoren bzw. andere „Vertrauenssignale“ genutzt werden müssen, zum Beispiel Fingerabdruck plus PIN, Gesichtserkennung plus PIN oder PIN plus Netzwerk-Location. Die Auswahl ist aber begrenzt (viel mehr gibt es nicht) und zudem noch immer auf die lokale Anwendung am registrierten Gerät beschränkt – also keine echte MFA aus Sicht des Servers (auch wenn es von Microsoft Entra als solche akzeptiert wird).

2. Aufwand bei On-Premises: Der Konfigurationsaufwand für WHfB kann erheblich sein. Das betrifft insbesondere On-Premises-Szenarien mit Windows Server Active Directory. Dabei ist eines von drei „Vertrauensmodellen“ umzusetzen, die auf die Kerberos-Infrastruktur abgestimmt sind, aber zusätzlich auch Cloud-Services benötigen (Microsoft Entra ID): „Key“, „Certificate“ oder „Cloud Kerberos“. Bei den ersten beiden Trust Models brauchen Sie zudem eine PKI, um Zertifikate für die Domänencontroller (Key) oder Domänencontroller und Benutzer (Certificate) bereitzustellen.

3. Schwachstelle Passwort: Womöglich noch problematischer: Im Standard bleibt das Passwort weiterhin eine gültige Anmeldeoption, nicht zuletzt als Backup. Wird es kompromittiert, ist der Weg in Ihr Netzwerk offen.

MFA für Windows? Nachteile von WHfB gegenüber echten MFA-Lösungen

Aus unserer Sicht ist Windows Hello for Business keine echte MFA-Lösung. Nicht umsonst bezeichnet Microsoft Entra ID, Microsofts Identity- und Access-Managementplattform, WHfB nur als eine kennwortlose „Authentifizierungsoption“ neben anderen (wie Microsoft Authenticator, FIDO2-Passkeys oder zertifikatebasierte Authentisierung).

Windows Hello for Business eignet sich gut für Organisationen, denen die Standardkonfiguration ausreicht: passwortlose Anmeldung am registrierten Gerät mit einem Login-Faktor (Credential): PIN, Face-ID oder Fingerabdruck. Wer flexiblere MFA-Optionen für Active Directory oder Azure braucht, wird mit einer echten MFA-Lösung besser fahren. Oft wünschen sich Unternehmen etwa die Möglichkeit, Smartphones als Authenticator zu nutzen, um Sicherheitsbedürfnisse und Benutzeranforderungen in Einklang zu bringen.

Auch wer Shoulder Surfing oder PIN-Sharing als mögliches Problem sieht, wird mit WHfB wahrscheinlich nicht glücklich. Denn zusätzlich zur PIN einen zweiten Faktor zu erzwingen, konterkariert Microsofts ursprünglichen Ansatz von „Mehr Sicherheit bei mehr Bequemlichkeit“. Im schlimmsten Fall nutzen frustrierte Anwender dann wieder ihre Passwörter zur Anmeldung und der Aufwand für WHfB war umsonst.

Zum Abschluss geben wir noch mal einen kurzen Überblick zu Einschränkungen von Windows Hello for Business im Vergleich zu MFA-Lösungen wie Microsoft Entra ID oder Drittanbieterprodukten:

Plattformabhängigkeit: Eine der Hauptbeschränkungen von WHfB ist seine Plattformabhängigkeit: WHfB wurde für Windows 10 und spätere Versionen entwickelt und bietet keine Unterstützung für andere Betriebssysteme.

Umfang der Authentisierungsmethoden: WHfB ist auf biometrische Daten und PIN beschränkt. Wer sich weitere Authentisierungsmethoden wünscht, etwa Push-Benachrichtigungen, SMS, Telefonanrufe oder Hardware-Token, braucht eine wirkliche MFA-Lösung.

Integration mit Drittanbieter-Anwendungen: Die Integration von WHfB mit Nicht-Microsoft-Anwendungen kann komplex und aufwendig sein.Verwaltungs- und Berichtsfunktionen: WHfB bietet nur grundlegende Verwaltungsoptionen. Ausgewachsene MFA-Lösungen bieten nicht nur mehr Funktionen und Komfort, sondern oft auch detaillierte Berichte und Analysen etwa zu Authentisierungsversuchen, Benutzeraktivitäten oder potenziellen Sicherheitsrisiken.

Wollen Sie mehr darüber erfahren, wie die Tools von Specops Sie bei der Stärkung Ihrer Passwortsicherheit unterstützen kann? Wir beraten Sie gerne!

NIST 800 Anforderungen an Passwortsicherheit
Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenlose Analyse vereinbaren!

(Zuletzt aktualisiert am 08/01/2025)

Zurück zum Blog