So machen Sie Ihre Apps mit Microsoft Authenticator und FIDO2 passwortlos

Warum sind Passwörter schrecklich? Diana Kelley von Microsoft erklärt alles, was mit unseren Passwörtern nicht stimmt.

Passwörter funktionieren nicht: Über 80 Prozent der Sicherheitsverletzungen sind auf gestohlene Passwörter und Anmeldeinformationen zurückzuführen. Benutzer wählen routinemäßig Kennwörter aus, die zu einfach und leicht zu erraten sind. Wenn Sie Benutzer dazu zwingen, komplexe Kennwörter zu verwenden, speichern sie diese und verwenden sie erneut. Dies wird durch das Erzwingen regelmäßiger Kennwortänderungen verschärft, und sowohl NIST als auch das National Cyber ​​Security Center raten von regelmäßigen Kennwortänderungen ohne Anzeichen eines Verstoßes ab. Wenn Systeme zum Zurücksetzen von Passwörtern auf Personen angewiesen sind, können sie auch durch Social Engineering getäuscht werden. Passwort-Manager sind eine Lücke.

Mehr über Windows

  • Verwendung des Gott-Modus in Windows 10
  • Windows 10 PowerToys: Ein Spickzettel
  • Microsofts größte Flops des Jahrzehnts
  • 10 Tricks und Optimierungen zum Anpassen von Windows 10 (kostenloses PDF)

Eine bessere Lösung besteht darin, sich mit biometrischen Daten, Einmalcodes, Hardware-Token und anderen Multi-Faktor-Authentifizierungsoptionen, die Token und Zertifikate austauschen, von Kennwörtern zu entfernen, ohne dass sich Benutzer etwas merken müssen.

Passwortlos bedeutet nicht mehr Dinge, an die sich Benutzer erinnern müssen, und mehr Reifen, durch die sie springen können. Zertifikate können mit kontextbezogenen Sicherheitsrichtlinien kombiniert werden, die weniger Faktoren für den Zugriff auf vertrauenswürdige Geräte und Verbindungen mit geringem Wert erfordern. Mit steigendem Risiko können weitere Faktoren hinzugefügt werden - unabhängig davon, ob dies auf dem Wert des Inhalts, dem Verhalten des Benutzers, seinem Standort und seiner Verbindung oder dem Status des Geräts basiert. Sie können dies bereits mit Azure AD Conditional Access und MFA einrichten, aber die umfassende Unterstützung für alle kennwortlosen Optionen steht erst am Anfang.

FIDO2 (Fast Identity Online) ist die plattformübergreifende Methode, mit der die Branche dies erreicht. Es dauert jedoch einige Zeit, bis die Standards ausgearbeitet und bereitgestellt sind, und die Unterstützung für Windows und Azure AD erfolgt ebenfalls schrittweise.

Die ersten Schritte basieren auf der Microsoft Authenticator-App, die mithilfe der schlüsselbasierten Authentifizierung einen Benutzeranmeldeinformationen erstellt, der an ein Gerät gebunden ist und eine PIN oder biometrische Daten verwendet (dies entspricht also einer Software, die Windows Hello entspricht). Anstatt ein Kennwort für die Anmeldung zu verwenden, sehen Benutzer den Nummerncode, der in die Authenticator-App eingegeben werden muss. Dort müssen sie ihre PIN eingeben oder eine Biometrie eingeben.

Anstatt ein Kennwort einzugeben, geben Benutzer in der Microsoft Authenticator-App und in Azure AD die Nummer auf dem Bildschirm in der App ein - auf ihrem Telefon oder sogar auf ihrer Smartwatch. Bald wird das auch mit FIDO2-Hardwaregeräten funktionieren.

Bild: Microsoft

Die kennwortlose Anmeldung für Microsoft-Konten mit der Microsoft Authenticator-App ist bereits verfügbar, und die Unterstützung für die Anmeldung bei Azure AD wird jetzt in der öffentlichen Vorschau angezeigt. Sie müssen Azure MFA verwenden und Administratoren müssen es für den Mandanten aktivieren, indem sie AuthenticatorAppSignInPolicy mit PowerShell hinzufügen. Es gibt eine Möglichkeit, dies im Portal zu tun, sobald der Dienst nicht mehr in der Vorschau angezeigt wird.

Derzeit kann die Authenticator-App nur ein einziges bei Azure AD registriertes Konto in einem Mandanten abdecken. Die Unterstützung mehrerer Konten ist jedoch in Zukunft geplant.

Diese kennwortlose Azure AD-Anmeldung gilt nicht nur für Office 365 und Azure. Es funktioniert mit jedem Dienst, der den Verbund unterstützt. Das bedeutet, dass Hunderttausende von Cloud-Apps (von Twitter bis Salesforce) und viele lokale Apps, die mit Azure AD für die einmalige Anmeldung zusammenarbeiten, jetzt kennwortlos sind.

Sie können Ihrem Mandanten mithilfe der Azure AD-Anwendungsgalerie bereits aktivierte Apps hinzufügen. Wenn die gewünschte App nicht aufgeführt ist, konfigurieren Sie mithilfe der Anwendungsintegrationsvorlagen die einmalige Anmeldung für Apps, die SAML 2.0, SCIM-Benutzerbereitstellung oder HTML-Formularanmeldung unterstützen. Wählen Sie im Azure-Portal Active Directory> Unternehmensanwendungen> Neue Anwendung> Nicht-Galerie-Anwendung und füllen Sie die Details im seitlichen Bereich aus, beginnend mit dem Namen. Sie können auch Anwendungen hinzufügen, die über Verbunddienste wie Azure ADFS einmalig angemeldet sind und im Office 365-App-Starter angezeigt werden.

Sie können die kennwortlose Anmeldung für Apps verwenden, die noch nicht in der Azure AD-App-Galerie enthalten sind.

Bild: Microsoft

Um Ihren eigenen Anwendungen Single Sign-On-Unterstützung hinzuzufügen, können Entwickler die Azure Active Directory-Authentifizierungsbibliothek (ADAL), die Microsoft Authentication Library (MSAL) oder verschiedene Open Source-Bibliotheken, die OAuth 2.0 und OpenID Connect 1.0 unterstützen, verwenden und anschließend registrieren durch das gleiche Portal.

FIDO2 und Azure AD

Wenn die Microsoft Authenticator-App nicht alle Ihre Anforderungen erfüllt, wird auch die Unterstützung für FIDO2-Hardware-Sicherheitsgeräte angeboten. Das könnte ein Yubikey oder sogar ein Fitness-Tracker wie der Motiv Ring sein.

Auch dies steht bei Microsoft-Konten an erster Stelle, da diese Woche FIDO2-Unterstützung ohne Kennwort für Microsoft-Konten in Windows 10 allgemein verfügbar ist. Das bedeutet, dass Sie sich bei Windows 10 und dann bei Websites wie Office 365 im Browser (Edge, Chrome oder Firefox) mit einem FIDO2-Schlüssel anstelle eines Kennworts anmelden können, wie Sie es mit Windows Hello und Biometrie tun können Die an das TPM auf dem PC gebundene Sicherheitsschlüsselhardware. Da immer mehr Websites die W3C FIDO-Authentifizierungsstandards verwenden, erhalten Sie auch eine kennwortlose Anmeldung.

"Wir führen immer zuerst die Microsoft-Kontoversionen durch, um schnell zu experimentieren und zu lernen, und auch, weil sie nicht die umfangreichen Administratorsteuerungen erfordern, die die Azure AD-Versionen bieten", erklärte Alex Simons, Corporate Vice President in der Identitätsabteilung von Microsoft, TechRepublic .

Der nächste Schritt ist die kennwortlose FIDO2-Unterstützung für Azure AD-Konten in Windows 10, für das Windows-Konto und Office 365 sowie für alle Verbund-Cloud- und lokalen Dienste, die über Azure AD einmalig angemeldet werden. Das ist seit Sommer 2018 in der privaten Vorschau; Organisationen können es im ersten Quartal 2019 in der öffentlichen Vorschau verwenden.

Viele FIDO-Hardware-Token können auch zeitbasierte Einmalpasscodes (TOTP) unter Verwendung des OATH-Standards erstellen. Dies ist besonders nützlich für Benutzer, die keinen Anruf oder keine Textnachricht empfangen können (oder wollen).

Sie können jetzt Hardware-OATH-Token als Option für das Zurücksetzen von Azure AD MFA- und Self-Service-Kennwörtern verwenden, sofern Sie über eine Premium-Azure AD-Lizenz (P1 oder P2) verfügen. Das Zurücksetzen des Kennworts unterstützt jetzt Windows 7, 8 und 8.1 mit zurückgesetztem Passwort vom Anmeldebildschirm.

Die Hardware-OATH-Unterstützung ersetzt nicht die vorhandenen Authentifizierungsoptionen. Benutzer können bis zu fünf Hardware- und Softwareoptionen haben, darunter die Microsoft Authenticator-App (und die Vorschau enthält andere Authentifizierungs-Apps wie Authy, die OATH unterstützen), Textnachrichten und Sprachanrufe. Wenn Sie einen YubiKey verwenden, der keinen Akku hat und die Zeit nicht erfassen kann, benötigen Sie auch die Yubico Authenticator-App. Die OATH-Unterstützung wird in der Vorschau angezeigt. Erwarten Sie daher, dass sich die Schnittstelle für die Verwaltung ändert (und verlassen Sie den Abschnitt MFA-Server der Azure-Schnittstelle, in dem andernfalls die lokale Azure-MFA-Unterstützung eingerichtet wird).

Erwarten Sie jedoch keine Unterstützung für FIDO U2F. Microsoft ist der Meinung, dass es besser ist, ohne Passwort zu arbeiten, als nur einen weiteren zweiten Faktor zu unterstützen.

Microsoft Weekly Newsletter

Seien Sie der Microsoft-Insider Ihres Unternehmens mithilfe dieser Windows- und Office-Tutorials und der Analysen unserer Experten zu Microsoft-Unternehmensprodukten. Wird montags und mittwochs geliefert

Heute anmelden

JÜNGSTE UND VERWANDTE ABDECKUNG

  • Wird Microsoft das Kennwort mit seinem Authenticator-Upgrade endgültig löschen?
  • So verhindern Sie Probleme mit der Remotedesktopauthentifizierung nach den letzten Updates für Windows-Server
  • So setzen Sie Ihr Windows 10-Kennwort zurück, wenn Sie es vergessen haben
  • So gehen Sie in Windows 10 über Kennwörter hinaus
  • Windows 10 nach drei Jahren: Ein stark verbessertes Zeugnis (ZDNet)
  • Office 365-Administratoren: So verringern Sie neue Angriffe, bei denen 2FA auf Windows-Systemen umgangen wird

© Copyright 2020 | mobilegn.com