Passwortlose Authentifizierung mit Windows Active Directory

Manchem erscheinen Passwörter als notwendiges Übel: Sie sichern unsere Accounts gegen unbefugtes Eindringen. Aber es ist umständlich, sie immer wieder einzugeben, und wenn sie ausreichend sicher sein sollen, kann man sie sich meist schlecht merken. Deshalb bemühen sich Sicherheitsexperten und Hersteller schon sehr lange darum, bequemere Alternativen für die sichere Authentifizierung ohne Passwort anzubieten. Ein bekanntes Beispiel ist die Überprüfung biometrischer Faktoren wie Gesicht oder Fingerabdruck, die 2015 in Windows und Active Directory Einzug hielt. Dieser Beitrag gibt einen Überblick über verschiedene Verfahren und Standards der passwortlosen Authentifizierung und ihre Umsetzung für Microsoft Windows.

Was bedeutet passwortlose Authentifizierung?

Das Passwort ist für die Authentisierung, also den Identitätsnachweis durch Personen, nur ein möglicher Faktor von mehreren – das nutzen Verfahren der Zwei- oder Multi-Faktor-Authentisierung aus. Wie auch bei der physischen Authentifizierung oder Zutrittskontrolle können autorisierte Personen durch ganz verschiedene Eigenschaften eindeutig identifiziert werden – Wissen, über das nur sie verfügen (z. B. Passwörter, Parolen, Antworten auf Sicherheitsfragen), Objekte, die nur sie besitzen (Schlüssel, Zugangskarten, Smartcards, Smartphones etc.) oder auch messbare körperliche Eigenschaften (biometrische Faktoren).

Vorreiter der breiten Nutzung alternativer Faktoren war das Onlinebanking, wo man schon seit den 1980er Jahren ein einfach zu merkendes Passwort (die PIN) mit Transaktionsnummern (TANs)  ergänzt, die man sich nicht merken muss, sondern in geeigneter Form besitzt – übermittelt per Post oder Telefon (SMS-TAN) oder erzeugt auf Smartphone oder Kartenleser.

Als passwortlos können aber nur Authentifizierungsverfahren gelten, die auf Faktoren der Kategorie Wissen ganz verzichten. Befürworter wie zum Beispiel Microsoft hoffen, dass sich damit nicht nur die Sicherheit erhöhen lässt, weil Phishing-Angriffe ins Leere laufen, sondern auch die Benutzerfreundlichkeit. Darüber hinaus sollen der Aufwand für die IT sinken und Zero-Trust-Ansätze besser umsetzbar sein.

Welche Verfahren für die passwortlose Authentifizierung gibt es?

Heute gibt es eine ganze Reihe von Verfahren für die Authentifizierung, die Faktoren der Kategorien Besitz (Zugriff auf bestimmte Geräte) oder Inhärenz (biometrische Eigenschaften) nutzen. Als starke Authentifizierung gilt die Kombination von mindestens zwei voneinander unabhängigen Faktoren.

Hier eine kurze Übersicht gängiger Methoden und Lösungen, welche häufig auch mehrere Verfahren kombinieren:

Biometrische Authentifizierung:

Diese Methode verwendet biometrische Merkmale einer Person, um ihre Identität zu überprüfen. Neben Fingerabdruck und Gesicht können dafür zum Beispiel auch Charakteristika der Stimme, der Iris oder Retina, aber auch etwa Bewegungsabläufe herangezogen werden, z. B. beim Tippen auf der Tastatur.

Einmalig benutzbare PIN-Codes (One-Time PIN, OTP):

Sie kennen das OTP-Prinzip bereits von den oben erwähnten TANs: Für jede Anmeldung wird ein temporärer Code erzeugt, der nur für eine begrenzte Zeit gültig ist. Das Verfahren ist flexibel anwendbar, weil Codes beim Anwender durch ganz verschiedene Geräte erzeugt bzw. ihm auf verschiedenen Wegen mitgeteilt werden können.

Hardware- oder Security-Token:

Token sind Hardware-Geräte oder -Komponenten im Besitz einer Person, welche zur Identitätsprüfung herangezogen werden können. Es gibt sie in verschiedenen Bauformen, etwa als USB-Sticks, Smartcards oder drahtloser Transponder (RFID, Bluetooth) zum Einbau in diverse Produkte. Zwar reicht zur Identifikation ein permanenter Schlüssel, aber viele Geräte können auch OTPs generieren. Andererseits können auch Smartphones mit OTPs (per Authenticator-App, Push-Benachrichtigung, QR-Code, SMS etc.) zum Hardware-Token gemacht werden.

Gerätegebundene Authentifizierung:

Bei dieser Methode wird die Identität einer Person anhand charakteristischer Eigenschaften des Geräts überprüft, mit dem sie sich anmeldet. Viele Online-Dienste nutzen etwa Modellinformationen, IP-Adresse, Betriebssystem- und Anwendungsversionen, Einstellungen etc. zur Erhöhung der Sicherheit: Erfolgt die Anmeldung auf einem bislang unbekannten Gerät, müssen für einen erfolgreichen Login weitere Faktoren beigebracht werden oder es gibt eine Warnmeldung. Die Anmeldung kann aber auch mittels kryptografischer Schlüssel fest an bestimmte Geräte gebunden werden (so arbeitet Windows Hello).

Public-Key-Infrastruktur (PKI):

PKI-Verfahren zur Authentifizierung arbeiten mit digitalen Zertifikaten, die vertrauenswürdige Geräte und damit Personen identifizieren können. Diese Zertifikate werden mit Hilfe der sogenannten asymmetrischen Verschlüsselung abgesichert, bei der Ver- und Entschlüsselung mit verschiedenen Schlüsseln erfolgen: Es wird ein Paar miteinander verknüpfter Schlüssel erzeugt, genauer ein privater (geheimer) und ein öffentlicher Schlüssel. Das Zertifikat ist für andere Systeme lesbar und enthält den öffentlichen Schlüssel. Der geheime Schlüssel ist nur auf dem Gerät gespeichert. Bei der Client-Authentifizierung erzeugt der Server zufällige Daten, die vom Client mit dem privaten Schlüssel verschlüsselt bzw. kryptografisch signiert und zurückgeschickt werden. Der Server entschlüsselt die Daten mit dem öffentlichen Schlüssel aus dem Zertifikat, vergleicht sie mit den Ausgangsdaten und bestätigt bei Übereinstimmung die Identität.

FIDO2 & Co.: Standards für passwortlose Authentifizierung

Wir stellen Ihnen an dieser Stelle zwei Standards für die passwortlose Authentifizierung vor, die auf breite Brancheninitiativen zurückgehen: OATH und FIDO2/WebAuthn.

OATH (Initiative for Open Authentication)

OATH ist eine branchenweite Initiative zur Entwicklung einer offenen Referenzarchitektur für starke Authentifizierung unter Verwendung offener Standards. Zu ihren fast dreißig Mitgliedern gehören unter anderem ActivIdentity, Konica Minolta, Symantec, Tesseract, VU Security oder Yubico. Zu den von OATH entwickelten Standards gehören beispielsweise die Einmalkennwortverfahren HMAC-based One-time Password Algorithmus (OATH-HOTP) und den neueren Time-based One-time Password Algorithmus (OATH-TOTP), die beispielsweise in mobilen Authenticator-Apps wie Google Authenticator oder Microsoft Authenticator genutzt werden.

FIDO2 (Fast Identity Online 2)

FIDO2 (Fast Identity Online 2) ist ein offener Authentifizierungsstandard der branchenübergreifenden Fast IDentity Online Alliance (FIDO). FIDO gehören deutlich mehr Mitglieder an als OATH, darunter neben Apple, Dell, Google, Infineon, Lenovo, PayPal, Mastercard, Microsoft, Netflix, Samsung oder Yubico auch das BSI. Wichtige FIDO-Standards sind U2F (Universal Second Factor) und UAF (Universal Authentication Framework) – beide oft als FIDO 1.0 zusammengefasst, sowie FIDO 2.0 (FIDO2). FIDO2 entstand in Zusammenarbeit mit dem W3C und beinhaltet auch den Standard W3C Web Authentication (WebAuthn). U2F wurde für FIDO2 zum Client to Authenticator Protocol (CTAP) weiterentwickelt; zusammen mit WebAuthn spezifiziert CTAP ein standardisiertes Authentifizierungsprotokoll. Wie oben beschrieben nutzt FIDO2 PKI mit öffentlichen und privaten Schlüsseln, um Geräte als vertrauenswürdig zu identifizieren – diese können entsprechend als Hardware-Token oder als anmeldendes Gerät eingesetzt werden. Die neueste Inkarnation dieses Verfahrens sind die sogenannten Passkeys, die nicht mehr fest einem einzelnen Gerät zugeordnet werden, sondern zwischen Geräten synchronisiert werden können.

Passwordlose Authentifizierung bei Windows

Für die passwortlose Anmeldung im Windows-Netzwerk ist auf Windows-Geräten der Dienst Windows Hello for Business zuständig. Darüber hinaus können auch der Microsoft Authenticator auf Mobilgeräten oder FIDO2-konforme Hardware-Token („Sicherheitsschlüssel“) genutzt werden. Beide können als zweiter Faktor dienen, aber auch das Passwort ersetzen.

Windows Hello nutzt unter der Haube ebenfalls FIDO2 (und unterstützt neuerdings auch Passkeys). Bei der Authentifizierung werden zwei Faktoren genutzt: ein gerätegebundener Faktor (PKI-Zertifikat oder einfaches asymmetrisches Schlüsselpaar) sowie seitens des Benutzers entweder eine PIN oder eine „biometrische Geste“. Während der initialen Registrierung beim „Identitätsanbieter“ (z. B. Active Directory) werden die Schlüssel generiert, kryptografisch an das anmeldende Gerät gebunden und der öffentliche Schlüssel dem Benutzerkonto zugeordnet.

Für die Biometrie werden neben Fingerabdruck- und Gesichtsscannern auch Iris-Scanner (Microsoft Hololens) unterstützt. Die PIN ist ebenfalls kryptografisch (per TPM, Trusted Platform Module) an das Gerät gebunden und kann auch nur wenige Male falsch eingegeben werden, weshalb sie weniger komplex sein darf als herkömmliche Passwörter.

So aktivieren Sie Windows Hello und die Biometriefunktionen von Windows-Clients

Auf Windows-Clients ist Windows Hello die empfohlene Methode für passwortlose Anmeldungen. Die konkrete Bereitstellung hängt von Ihrer Netzwerkkonfiguration (lokal, Cloud, hybrid) und Ihrer Gerätestrategie ab. Microsoft stellt unter https://aka.ms/passwordlesswizard einen Assistenten bereit, um die für Ihre Organisation relevanten Voraussetzungen und geeignete Optionen zu ermitteln und Sie Schritt für Schritt durch die Bereitstellung von Windows Hello for Business zu führen.

Wirklich passwortlos ist Windows Hello aber natürlich nur mit Biometrie. Deshalb zum Abschluss ein Tipp, wie Sie auf Ihren Windows-Clients die erforderlichen Biometriefunktionen einschalten können. Denn dafür müssen Sie drei verschiedene Gruppenrichtlinien aktivieren, zu finden unter diesem GPO-Zweig:

Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Biometrie

Um Windows Hello mit Biometrie zu nutzen, aktivieren Sie dort diese drei Biometrie-Richtlinien:

• Verwendung der Biometrie zulassen
• Benutzeranmeldung mithilfe von Biometrie zulassen
• Domänenbenutzeranmeldung mithilfe von Biometrie zulassen

Passwörter adé?

Trotz der vielen Vorteile und Fortschritte im Bereich der passwortlosen Authentifizierung sollten Sie Passwörter und deren Sicherheit dennoch nicht komplett vernachlässigen.

Auch wenn passwortlose Lösungen in Bezug auf Benutzerfreundlichkeit und Sicherheit gegen bestimmte Angriffsvektoren wie Phishing punkten können, gibt es immer noch Szenarien, in denen Passwörter als Backup oder zusätzliche Sicherheitsebene relevant sind. Erstens sind nicht alle Systeme und Anwendungen bereits auf passwortlose Alternativen umgestellt, und es kann vorkommen, dass Benutzer auf legacy Systeme zugreifen müssen, die eine Passworteingabe erfordern. Zweitens können biometrische Daten in seltenen Fällen fehlerhaft erkannt werden oder Hardware-Token verloren gehen. In solchen Fällen dient das Passwort (oder ein PIN) als Fall-Back, um den Zugriff zu ermöglichen. Schließlich sind Passwörter seit Jahrzehnten ein bewährter Standard und fest in viele Authentifizierungsprozesse eingebunden. Während wir uns also Schrittweise in Richtung passwortloser Lösungen bewegen, bleibt ihre Bedeutung und ihre Verwendung als zusätzliche Sicherheitsebene und Authentifizerungsfaktor in einigen Aspekten noch weiter bestehen.

Lesen Sie mehr zu den Gründen warum wir uns noch nicht ganz von Passwörtern verabschieden sollten in diesem Blogpost.

Es ist also ratsam, Passwörter als Teil einer Multi-Faktor-Authentifizierungsstrategie zu behalten und sicherzustellen, dass sie weiterhin stark, geheim und sicher sind. Mit Specops Password Policy können Sie dafür sorgen, dass Ihre Active Directory Passwortrichtlinien modernen Empfehlungen entsprechen. Mit dem Breached Password Protection Addon überprüfen Sie zusätzlich noch Ihre Active Directory Passwörter darauf, ob diese bereits kompromittiert sind – fordern Sie einfach eine kostenlose Demo an und überzeugen Sie sich selbst.