InternetIntelligenz 2.0

kostenlos Pressemitteilungen einstellen | veröffentlichen | verteilen

Pressemitteilungen

 

Windows Hello for Business - das neue Passwort, einfach und sicher

ID: 1692776


(PresseBox) - Das Login mit Benutzername und Passwort gibt es schon, seit es Computersysteme gibt. Etwa gleich alt sind auch die Probleme und Konflikte rund um diese Form der Authentisierung.

Mit Blick auf die Sicherheit des Verfahrens muss ein Passwort einerseits möglichst lang sein und andererseits eine möglichst hohe Entropie aufweisen ? also ein hohes Mass an Zufälligkeit durch eine möglichst beliebige Sequenz von Bits.

Aus Benutzersicht soll das Passwort jedoch möglichst einprägsam sein ? also möglichst kurz und einfach.

Diesem Konflikt wird in der Regel mit einem Kompromiss begegnet: Man verwendet eher schwache Passwörter, wechselt diese aber regelmässig. Früher war die daraus resultierende eher schwache Authentisierung vertretbar, da die Services nur dann verfügbar waren, wenn der Mitarbeitenden sich physisch im Unternehmen befand. Heute sind Services in der Cloud und praktisch überall verfügbar. Entsprechend ist auch die schwache Form der Authentisierung lediglich mit dem Passwort als alleiniger Authentisierungsfaktor für die meisten Unternehmen und Organisationen ein Sicherheitsrisiko. 

Um dieses Risiko zu minimieren, werden mehrere Authentisierungsfaktoren kombiniert. 

Knowledge: «Something you know» (z.B. Passwort, PIN)

Ownership: «Something you have» (Smartcard, Mobiltelefon)

Inherence: «Something you are» (biometrische Verfahren)

Klassische Vertreter der Mehrfaktor-Authentisierung in Kombination mit Knowledge (also etwa mittels Passwort) sind Smartcards (Chipkarten). Diese sind hinsichtlich der Sicherheit, aber auch für den Endbenutzer eine ideale Lösung. Die Problematik von Smartcards ist jedoch, dass deren Einführung und Unterhalt mit hohen Kosten verbunden ist (durch Einsatz einer Public Key Infrastructure - kurz PIK, Erfassen und Auslesen von Smartcards, kompatible Clients, Zertifikate, etc.). 





Eine einfache und kostengünstige Kombination von Knowledge und Ownership läuft über das bestehende Passwort und den Besitz eines auf den Benutzer registrierten Smartphones. Bei erfolgreicher Authentisierung über das Passwort wird z.B. eine Textnachricht mit einem Einmalpasswort an die registrierte Smartphone-Nummer übermittelt, die der Benutzer als zusätzlichen Faktor bestätigen muss. Deutlich komfortabler ist die Zwei-Faktor-Authentisierung über eine entsprechende App auf dem registrierten Smartphone. Microsoft Azure Multi-Factor Authentication (Azure MFA) geht genau diesen Weg. Der Nachteil dieser Lösung ist, dass jede Applikation einzeln dafür integriert werden muss; zudem werden häufige Multi-Faktor-Authentisierungen als störend empfunden. 

Windows Hello for Business (Windows Hello for Business) hingegen ermöglicht eine sichere Authentisierung schon beim Login am Client. Dabei wird ein «Windows Hello for Business Credential» erzeugt, das an das Trusted Platform Module (TPM-Chip) im Windows 10 Device (Ownership) gebunden ist. Als Zusatzfaktor wird eine sogenannte «Windows Hello for Business Gesture» eingesetzt. Das ist immer ein PIN (Knowledge) und optional biometrische Faktoren wie Fingerabdruck oder Gesichtserkennung. 

Windows Hello for Business unterstützt wie Smartcards auch nicht Applikationen, sondern Identity Provider (IdP). Konkret unterstützt Windows Hello for Business alle IdP, die im Microsoft-Umfeld relevant sind: 

Azure Active Directory (AzureAD)

Active Directory Federation Services (ADFS)

Active Directory Domain Services (ADDS)

Die folgende Abbildung illustriert, dass dadurch grundsätzlich all jene Applikationen Windows Hello for Business unterstützen, die mindestens ein Protokoll der drei Microsoft IdPs unterstützen. 

Um Windows Hello for Business zu nutzen, muss der Benutzer sich auf seinen Windows-10-Geräten registrieren. Dabei werden das «Windows Hello for Business Credential» (=Schlüsselpaar) auf dem Client erzeugt und die Windows Hello for Business Gestures gewählt, womit das «Windows Hello for Business Credential» geschützt wird. Für die Registrierung wird immer eine Mehrfach-Authentisierung verlangt (z.B. AzureMFA). Nach Abschluss der Registrierung haben Benutzer beim Login am Client die Wahl zwischen klassischer (via Kennwort) Anmeldung oder Anmeldung via Windows Hello for Business. Nutzt eine Person mehrere Geräte, so muss die Registrierung auf jedem zusätzlichen Gerät wiederholt werden. Ein Windows Hello for Business Gesture ist also nur auf jenem Gerät gültig, auf dem der entsprechende Benutzer registriert ist. 

Die technischen Anforderungen, um Windows Hello for Business in Kombination mit Hybrid Deployment zu nutzen, sind verglichen mit Smartcards äusserst bescheiden: 

AzureAD Free

Synchronisation ADDS - AzureAD

Windows 10 Pro/Enterprise Device; registriert in AzureAD

Genügend Windows Server 2016 Domain Controller Windows Hello for Business-Authentisierungen können nur von Windows Server 2016 und höher basierenden Domain Controllern verarbeitet werden.

Azure MFA für die Registrierung

Wer also heute bereits Office365, AzureMFA und Windows 10 Pro/Enterprise Geräte einsetzt, ist schon bereit für die Einführung von Windows Hello for Business!

Das Whitepaper zum Thema finden aus auf folgendem Link

 

Autor: Pirmin Felber, ICT Architect, BitHawk AG

Die BitHawk AG beschäftigt rund 200 Mitarbeitende. Der Hauptsitz von BitHawk ist in Sursee, weitere Standorte befinden sich in Basel, Bern und Winterthur.

Die Kernkompetenzen der BitHawk liegen in den Bereichen Consulting, Engineering und Operations von IT-Infrastrukturen sowie in IT- und Enterprise Service Management Lösungen. Das Lösungsportfolio umfasst die Themen Netzwerk, Unified Communications und Collaboration, Unified Computing, Workplace und Public- Hybrid und Privat Clouds . Speziallösungen wie IT- Security, Retail und Digital Signage Solution runden das Portfolio ab. Qualifizierte Spezialisten beraten Kunden im Hinblick auf eine langfristig sinnvolle und anpassungsfähige IT-Umgebung. Ein umfassender Service Desk, ein eigenes Rechenzentrum und Repair Center garantieren höchste Verfügbarkeit und schnelle Reaktionszeiten.


Themen in diesem Fachartikel:


Unternehmensinformation / Kurzprofil:

Die BitHawk AG beschäftigt rund 200 Mitarbeitende. Der Hauptsitz von BitHawk ist in Sursee, weitere Standorte befinden sich in Basel, Bern und Winterthur.Die Kernkompetenzen der BitHawk liegen in den Bereichen Consulting, Engineering und Operations von IT-Infrastrukturen sowie in IT- und Enterprise Service Management Lösungen. Das Lösungsportfolio umfasst die Themen Netzwerk, Unified Communications und Collaboration, Unified Computing, Workplace und Public- Hybrid und Privat Clouds . Speziallösungen wie IT- Security, Retail und Digital Signage Solution runden das Portfolio ab. Qualifizierte Spezialisten beraten Kunden im Hinblick auf eine langfristig sinnvolle und anpassungsfähige IT-Umgebung. Ein umfassender Service Desk, ein eigenes Rechenzentrum und Repair Center garantieren höchste Verfügbarkeit und schnelle Reaktionszeiten.



Leseranfragen:



PresseKontakt / Agentur:



drucken  als PDF  an Freund senden  Endlich eingetroffen! Damen Gummistiefel in Übergrößen bei schuhplus von 42 bis 45
Lernen fürs Leben 4.0
Bereitgestellt von Benutzer: PresseBox
Datum: 01.02.2019 - 08:00 Uhr
Sprache: Deutsch
News-ID 1692776
Anzahl Zeichen: 0

Kontakt-Informationen:
Ansprechpartner:
Stadt:

Sursee


Telefon:

Kategorie:

Dienstleistung


Anmerkungen:


Dieser Fachartikel wurde bisher 158 mal aufgerufen.


Der Fachartikel mit dem Titel:
"Windows Hello for Business - das neue Passwort, einfach und sicher
"
steht unter der journalistisch-redaktionellen Verantwortung von

BitHawk AG (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).


Alle Meldungen von BitHawk AG



 

Wer ist Online

Alle Mitglieder: 50.252
Registriert Heute: 0
Registriert Gestern: 0
Mitglied(er) online: 0
Gäste Online: 264


Bitte registrieren Sie sich hier. Als angemeldeter Benutzer nutzen Sie den vollen Funktionsumfang dieser Seite.