Login ohne Passwort: Microsoft bringt FIDO2-Authentifizierung

Mit dem derzeit nachgelieferten Oktober-Update für Windows 10 eröffnet Microsoft den Nutzern auch neue Login-Möglichkeiten abseits des Passworts. Damit wird die Authentifizierung zugleich bequemer und sicherer.

Mit FIDO2/WebAuthn-Produkten wie YubiKey 5 wird der Authentifizierungsprozess beschleunigt und abgesichert
(Foto: Yubico)

Schon seit der ersten Veröffentlichung von Windows 10 ist es eines der erklärten Ziele von Microsoft, den Login einfacher und zugleich sicherer zu machen, als mit dem klassischen Schema aus Benutzername und Passwort. Das große Oktober-Update (Version 1809), das nach einigen Problemen beim ursprünglichen Rollout derzeit nachgeliefert wird, bringt hier einen weiteren wichtigen Meilenstein mit sich. Sowohl Nutzer der hauseigenen Biometrie-Lösung Windows Hello als auch Besitzer von Identifikationsprodukten nach dem von Microsoft mitentwickelten FIDO2/WebAuthn-Standard (Fast Identification Online) können sich künftig ohne Passwort bei ihrem Microsoft-Konto authentifizieren. Damit können sie dann nach dem Single-Sign-On-Prinzip neben Windows auch direkt auf alle wichtigen Microsoft-Dienste wie Cortana, Skype, OneDrive, Xbox, den Windows Store, Outlook und Office zugreifen.

Windows Hello kann dafür neben dem in vielen Geräten integrierten Fingerabdrucksensor und der Gesichtserkennung per Webcam auch andere, wie beispielsweise die Iriserkennung einiger Smartphones und Wearables nutzen. Auch für den Weg über FIDO2/WebAuthn sind bereits einige Produkte auf dem Markt verfügbar, wie etwa die »YubiKey 5«-Familie von Yubico. Dabei handelt es sich um USB-Sticks ähnlich sehende Tokens, die zunächst im Microsoft-Konto registriert werden müssen. Anschließend können sie je nach Modell bequem per USB oder auch NFC für die Anmeldung genutzt werden. Für Sicherheit sorgt dabei ein eindeutiges Schlüsselpaar, dessen öffentliche Komponente im Microsoft-Konto hinterlegt wird, während der private Teil ausschließlich direkt auf dem Token gespeichert bleibt. Als zweiter Authentifizierungsfaktor ist zudem noch ein individueller PIN notwendig, der ebenfalls nur verschlüsselt auf dem Token selbst liegt.

»Die passwortlose Anmeldung verändert grundlegend die Art und Weise, wie geschäftliche Nutzer und Konsumenten auf Geräte und Anwendungen zugreifen können. Sie vereint unerreichte Benutzerfreundlichkeit und Sicherheit in einer Lösung, die die Benutzer lieben und die Hacker hassen werden«, so Alex Simons, Corporate Vice President der Microsoft Identity Division. Tatsächlich kommt Microsoft diesem Versprechen, Bequemlichkeit und Sicherheit zu vereinen, damit einen großen Schritt näher. Allerdings hat diese Methode derzeit auch noch zwei Haken. Zum einen ist sie nur über den Microsoft-Browser Edge möglich, zum anderen steht sie Business-Nutzern derzeit noch nicht zur Verfügung. Zumindest letztere Einschränkung soll jedoch nach derzeitiger Planung im nächsten Jahr wegfallen.

Kommentare (1) Alle Kommentare

Antwort von Hans Miller-Meier , 08:29 Uhr

Ein dummer Versuch von Microsoft Benutzung von Edge zu erzwingen. Die Community mag es nicht, zu irgendwas gezwungen zu werden. Anschliessend wird keiner diese Feature benutzen, weil kaum einer Edge benutzt. Microsoft lernt nie….