Passwörter sind eine Technologie von gestern – passwordless is the way to go. Erfahre hier, wie du deine Anmeldemöglichkeiten mit Windows Hello for Business und dem Microsoft Authenticator auf den aktuellen Stand bringen kannst. 

Passwörter und die damit verbundenen Herausforderungen

Passwörter sind nicht benutzerfreundlich – mein Passwort muss…

• …bei jeder Anmeldung eingetippt werden.
• …genügend lang sein.
• …Gross-/Kleinbuchstaben, Sonderzeichen und Zahlen beinhalten.
• …manuell rotiert werden.
• …auswendig gelernt werden.
• …sicher abgelegt werden.

👉 Lies dazu auch unseren Blog-Post: Wie generiere ich ein sicheres Passwort?

Zusätzlich sind Passwörter anfällig auf diverse Attacken wie z.B. Brute Force, Social Engineering, Phishing, Rainbow Tables, Credential Stuffing oder Keylogging.

Zeit für etwas Neues! Go passwordless mit Microsoft. 💪

Ganz ohne Passwort? Wie geht das? 🤔

Passwordless – passwortlos – ohne Passwort

Die Kombination von Windows Hello for Business auf deinem Desktop oder Laptop Computer mit der Microsoft Authenticator App auf deinem Smartphone ermöglichen eine Anmeldung komplett ohne Passwörter.

Du fragst dich nun bestimmt, wie genau die Überprüfung deiner Identität ohne Passwort funktionieren soll. Hierzu gibt es diverse weitere Möglichkeiten, welche wesentlich sicherer und massiv benutzerfreundlicher sind.

• Microsoft Authenticator
  Eine Authentifizierungs-App für iOS und Android, welche dein Smartphone zu deinem Security Token verwandelt. Damit meldest du dich bequem und sicher bei all deinen Onlinekonten an.
  
  Mehr erfahren >
  
  
• Windows Hello for Business
  Neue Anmeldemethoden für das Login an deinem Windows PC. Entsperre dein Gerät mit modernen Faktoren wie deinen biologischen Daten (Finger oder Face) oder einem PIN. Gesichert durch den lokal verbauten Sicherheits-Chip (TPM), welcher diverse bekannte Passwort-Attacken abschwächt.
  
  Mehr erfahren >

Microsoft Authenticator – Passwordless 🔑

Wie aktiviere ich «passwordless»?

Vermutlich verwendest du die App bereits für die 2FA (2-Faktor-Authentifizierung) mit Microsoft 365. Erfahre hier wie du dich in der App für die «passwordless» Anmeldung registrieren kannst.

Lade dazu die Microsoft Authenticator App herunter:

• Apple App Store: Microsoft Authenticator on the App Store
• Google Play Store: Microsoft Authenticator – Apps on Google Play

Nachdem du die Authenticator-App installiert hast, kannst du deinen Account hinzufügen und darin auf «Anmeldung per Telefon aktivieren» klicken. Folge ganz einfach den Anweisungen in der App, um die Registrierung für die kennwortlose Anmeldung per Telefon für das Konto abzuschliessen.

Beim Login kannst du nun – anstatt wie gewohnt dein Passwort einzugeben – auf den Button «Stattdessen eine App verwenden» klicken.

Wie sieht das Login aus?

Durch das phishing-resistente «Number Matching» von Microsoft wird dir an deinem Desktop-Gerät eine Zahl angezeigt, welche du anschliessend in der Push-Benachrichtigung an deinem Smartphone eintippen musst. Die Eingabe von einem Passwort ist nicht mehr notwendig.

So sieht das Ganze in Action aus:

Welche Faktoren greifen hier für die sichere Anmeldung?

Eine MFA (Multifaktor-Authentifizierung) funktioniert immer mit einer Kombination von mindestens zwei Faktoren. Welche Faktoren dies genau sind und wie diese abgebildet werden können, erfährst du hier 👉 MFA-Faktoren: Etwas, was ich bin, habe oder weiss?

Spoiler: Bei «passwordless» mit dem Microsoft Authenticator werden folgende Faktoren verwendet:

• Something you have > dein Smartphone
• Something you are / something you know > biometrische Sensoren oder PIN

Windows Hello for Business 👋

Wie aktiviere ich Windows Hello for Business?

Der Rollout von Windows Hello for Business kann in älteren Microsoft-Umgebungen mit lokalen Domain Controllern sowie auch in moderneren Cloud-Umgebungen ohne Server problemlos durch die geschulten System Engineers der axelion Crew aufgeschaltet werden.

Wichtig ist nur, dass alle Mitarbeitenden über eine Microsoft Business Premium Lizenz oder eine andere Lizenz, welche Microsoft Intune P1 beinhaltet, verfügen.

Melde dich gerne bei uns für die Analyse deiner Umgebung und um die für Windows Hello notwendigen Schritte einzuleiten.

Wie sieht das Login aus?

Welche Faktoren greifen hier für die sichere Anmeldung?

Wie bereits im Kapitel vom Microsoft Authenticator erklärt wurde, wird eine MFA immer mit der Kombination von mindestens zwei Faktoren realisiert 👉 MFA-Faktoren: Etwas, was ich bin, habe oder weiss?

Spoiler: Bei Windows Hello for Business werden folgende Faktoren verwendet:

• Something you have > dein Laptop oder Desktop PC
• Something you are / something you know > biometrische Sensoren oder PIN
  

Tech Insides 💡

Für zusätzliche Sicherheit können sogar noch weitere Faktoren integriert werden. Zum Beispiel kann erzwungen werden, dass sich das persönliche Smartphone innerhalb der Bluetooth-Reichweite des Laptops befindet. Hierzu wird zusätzlich die Multi-Factor Unlock Funktion für Windows Hello ausgerollt.

👉 MFA-Faktoren:
Etwas, was ich bin, habe oder weiss?

Something you are, something you have, something you know

Unter einer Multi-Factor Authentication (MFA), oder auf Deutsch auch einer Authentifizierung mit mehreren Faktoren, versteht man immer eine Kombination von mindestens zwei der drei gängigsten Authentifizierungs-Faktoren, welche ich euch nun gerne etwas genauer erklären werde:

Etwas, was ich bin – Something you are 👤

Hiermit wird ein physisches Merkmal von deinem menschlichen Körper verlangt. Eine Eigenschaft, welche nur durch deine Präsenz erfüllt werden kann. In der Praxis wird dies sehr oft durch deinen eindeutigen Fingerabdruck oder dein Gesicht realisiert. Moderne Geräte von Dell und HP verfügen über biometrische Sensoren für die Finger und Gesichtserkennung, welche dir das Anmelden mit Windows Hello for Business erleichtern. Bei den Smartphones ist diese Art der Authentifizierung schon seit mehreren Jahren weit verbreitet.

Etwas, was ich habe – Something you have 📱

Hier wird ein physischer Gegenstand verlangt, welcher in Form von einem Gerät oder Token vorhanden sein kann. Zum Beispiel kannst du dir darunter dein Smartphone vorstellen, welches dich durch den Alltag begleitet. Alternativ kann dies auch ein dedizierter Fido2 USB-Stick oder dein Geschäfts-Laptop sein. Wichtig ist hier, dass das Gerät für die Anmeldung zwingend bei dir sein muss. Im Falle von einem USB muss dieser eventuell noch mit dem Laptop oder Smartphone verbunden werden. Dies kann direkt via USB oder auch kabellos via NFC erfolgen. Bei einem Smartphone ist es eventuell notwendig, dies vorgängig via Bluetooth mit dem PC zu verbinden.

Etwas, was ich weiss – Something you know 💭

Grundsätzlich handelt es sich hier immer um etwas Geschriebenes, welches zwingend korrekt eingetippt werden muss. In den meisten Fällen wird hier ein kurzer PIN verlangt. Aber auch die klassischen Passwörter oder Sicherheitsfragen fallen in diese Kategorie der Authentifizierungs-Faktoren. Da die biologischen Sensoren von «Etwas, was ich bin – Something you are» (s. oben) deine Eigenschaften nicht immer zuverlässig identifizieren können, wird als Backup-Methode oftmals ein PIN hinterlegt.

Authenticator oder Windows Hello ohne Passwort einrichten 💡

Wie genau kann ich nun initial den Authenticator oder Windows Hello einrichten, wenn ich kein Passwort zu meinem Account habe? Die Antwort: TAP – Temporary Access Pass.

Durch ein temporäres Passwort, welches nur während eines beschränkten Zeitraums für eine bestimmte Anzahl Anmeldungen verwendet werden kann, ist das Onboarding neuer Mitarbeitenden auch kein Hindernis mehr.

Nun gibt es nicht viel mehr zu sagen als:
Viel Spass in deinem neuen «passwordless» Workplace!

ℹ️ Glossar:
MFA, 2FA, PIN, TAP, TPM?

Hier eine Übersicht von diversen in diesem Blog erwähnten Abkürzungen inkl. Erklärung:

MFA – Multi-Factor Authentication
Die Authentifizierung von mindestens zwei oder mehr Faktoren.
👉 MFA-Faktoren: Etwas, was ich bin, habe oder weiss?

2FA – Two-Factor Authentication
Die Authentifizierung von mindestens zwei Faktoren.

PIN – Personal Indentication Number
Kurzes Passwort, welches oftmals nur aus Zahlen besteht, lokal auf dem Gerät gespeichert ist und durch einen physischen Sicherheits-Chip (TPM) abgesichert wird.

TAP – Temporary Access Pass
Temporäres Passwort, welches nur während eines beschränkten Zeitraums für eine bestimmte Anzahl Anmeldungen verwendet werden kann. Wird oftmals für das initiale Onboarding von neuen Accounts verwendet.

TPM – Trusted Platform Module
Lokaler physischer Sicherheits-Chip, welcher in modernen Geräten verbaut wird. Speichert die biometrischen Daten und andere Zugangsdaten verschlüsselt ab.

Quellen:

• multi-factor authentication – Glossary | CSRC (nist.gov)
• Passwordless sign-in with Microsoft Authenticator – Microsoft Entra ID | Microsoft Learn
• Windows Hello for Business overview – Windows Security | Microsoft Learn
• Multi-factor unlock – Windows Security | Microsoft Learn
• Configure a Temporary Access Pass in Microsoft Entra ID to register passwordless authentication methods – Microsoft Entra ID | Microsoft Learn