Verwalten der Identitätsüberprüfung mit Microsoft Passport
Unter Windows 10 werden Kennwörter von Microsoft Passport durch eine sichere zweistufige Authentifizierung auf Computern und mobilen Geräten ersetzt. Diese Authentifizierung besteht aus einer neuen Art von Anmeldeinformationen, die an ein Gerät und Windows Hello (biometrisch) oder eine PIN gebunden sind.
Passport behandelt die folgenden Probleme mit Kennwörtern:
Kennwörter kann man sich ggf. schlecht merken. Benutzer verwenden deshalb häufig die gleichen Kennwörter für mehrere Websites.
Serververletzungen können symmetrische Netzwerkanmeldeinformationen verfügbar machen.
Kennwörter können das Ziel von Replay-Angriffen sein.
Benutzer können versehentlich ihre Kennwörter aufgrund von Phishing-Angriffen verfügbar machen.
Passport ermöglicht Benutzern eine Authentifizierung mit:
einem Microsoft-Konto
einem Active Directory-Konto
einem Microsoft Azure Active Directory (AD)-Konto
Identitätsanbieterdienste oder Dienste vertrauernder Seiten, die die Authentifizierung vom Typ Fast ID Online (FIDO) v2.0 unterstützen
Nach einer anfänglichen zweistufigen Überprüfung des Benutzers während der Passport-Registrierung wird auf dem Gerät des Benutzers Passport eingerichtet, und der Benutzer legt eine Geste (Windows Hello oder PIN) fest. Der Benutzer stellt die Geste für die Identitätsüberprüfung zur Verfügung. Windows verwendet dann Passport, um die Benutzer zu authentifizieren, und sorgt für Zugriff auf geschützte Ressourcen und Dienste.
Als Administrator in einem Unternehmen oder einer Bildungseinrichtung können Sie Richtlinien zum Verwalten der Verwendung von Passport auf Geräten unter Windows 10 erstellen, die eine Verbindung mit Ihrer Organisation herstellen.
Vorteile von Microsoft Passport
Berichte über Identitätsdiebstahl und umfangreiche Hacker sind häufig in den Schlagzeilen. Niemand möchte darüber benachrichtigt werden, dass seine Kombination aus Benutzername und Kennwort verfügbar gemacht wurde.
Möglicherweise fragen Sie sich, wie eine PIN ein Gerät besser als ein Kennwort schützen kann. Kennwörter sind gemeinsame geheime Schlüssel. Sie werden auf einem Gerät eingegeben und über das Netzwerk an den Server übermittelt. Ein abgefangene Kontoname und -kennwort kann von einer beliebigen Person verwendet werden. Da sie auf dem Server gespeichert sind, kann eine Serververletzung zur Offenlegung dieser gespeicherten Anmeldeinformationen führen.
Unter Windows 10 werden Kennwörter von Passport ersetzt. Beim Bereitstellungsprozess von Passport werden zwei kryptografische Schlüssel erstellt und an das Trusted Platform Module (TPM), falls ein Gerät über ein TPM verfügt, oder in der Software gebunden. Der Zugriff auf diese Schlüssel und das Abrufen einer Signatur zum Überprüfen des Besitzes des privaten Schlüssels ist nur mit der PIN oder der biometrischen Geste möglich. Im Rahmen der zweistufigen Überprüfung bei der Passport-Registrierung wird eine Vertrauensstellung zwischen dem Identitätsanbieter und dem Benutzer erstellt, wenn der öffentliche Teil eines öffentlichen bzw. privaten Schlüsselpaars an einen Identitätsanbieter gesendet und einem Benutzerkonto zugeordnet ist. Wenn ein Benutzer die Geste auf dem Gerät eingibt, weiß der Identitätsanbieter anhand der Kombination aus Passport-Schlüsseln und Geste, dass die Benutzeridentität überprüft ist, und stellt ein Authentifizierungstoken bereit, das Windows 10 den Zugriff auf Ressourcen und Dienste gewährt. Darüber hinaus wird während des Registrierungsprozesses wird der Anspruchsnachweis für jeden Identitätsanbieter generiert, um kryptografisch zu prüfen, ob Passport-Schlüssel an TPM gebunden sind. Während der Registrierung wird der Anspruchsnachweis nicht dem Identitätsanbieter angezeigt. Der Identitätsanbieter muss davon ausgehen, dass der Passport-Schlüssel in der Software erstellt wird.
.png "Funktionsweise der Authentifizierung in Microsoft Passport")
Stellen Sie sich vor, dass jemand Ihnen über die Schulter schaut, wenn Sie Geld an einem Geldautomaten abheben, und die von Ihnen eingegebene PIN sieht. Mit dieser PIN kann diese Person nicht auf Ihr Konto zugreifen, da sie nicht über Ihre EC-Karte verfügt. Analog dazu kann ein Angreifer nicht mit Ihrer PIN für das Gerät auf Ihr Konto zugreifen, da die PIN lokal auf Ihrem Gerät vorhanden ist und keine Authentifizierung von einem anderen Gerät aus ermöglicht.
Passport dient dem Schutz von Benutzeridentitäten und Benutzeranmeldeinformationen. Da keine Kennwörter verwendet werden, werden Phishing- und Brute-Force-Angriffe verhindert. Außerdem werden Serververletzungen verhindert, weil es sich bei Passport-Anmeldeinformationen um ein asymmetrisches Schlüsselpaar handelt. Dies trägt zur Verhinderung von Replay-Angriffen bei, wenn die Schlüssel innerhalb der isolierten Umgebungen von Trusted Platform Modules (TPMs) generiert werden.
Microsoft Passport ermöglicht auch die Verwendung von Geräten mit Windows 10 Mobile als Remote-Anmeldeschlüssel bei der Anmeldung an Windows 10-PCs. Während des Anmeldevorgangs kann sich der Windows 10-PC über Bluetooth verbinden, um auf dem Windows 10 Mobile-Gerät des Benutzers auf Microsoft Passport zuzugreifen. Da Benutzer gewöhnlich ihre Telefone bei sich haben, sorgt Microsoft Passport im gesamten Unternehmen für einen kostengünstigeren und einfacheren Zwei-Faktoren-Authentifizierungsprozess.
Hinweis Die Telefonanmeldung ist derzeit auf ausgewählte Teilnehmer des Technology Adoption-Programms (TAP) beschränkt.
Funktionsweise von Microsoft Passport: wichtigste Punkte
Die Passport-Anmeldeinformationen basieren auf einem Zertifikat oder einem asymmetrischen Schlüsselpaar. Passport-Anmeldeinformationen sind an das Gerät gebunden, und das mit den Anmeldeinformationen abgerufene Token ist ebenfalls an das Gerät gebunden.
Über den Identifizierungsanbieter (Active Directory/Azure AD/Microsoft-Konto) wird die Benutzeridentität überprüft, und der öffentliche Schlüssel von Microsoft Passport wird dem Benutzerkonto während des Registrierungsschritts zugeordnet.
Schlüssen können basierend auf der Richtlinie in der Hardware (TPM 1.2 oder 2.0 für Unternehmen oder TPM 2.0 für Verbraucher) oder in der Software Schlüssel generiert werden.
Die Authentifizierung erfolgt per zweistufige Authentifizierung, indem eine Kombination aus einem Schlüssel oder Zertifikat, der bzw. das an das Gerät gebunden ist, und einem Faktor genutzt wird, der einer Person bekannt ist (eine PIN) oder der Person zugeordnet ist (Windows Hello). Für die Passport-Geste wird kein Roaming zwischen Geräten und keine Freigabe für den Server durchgeführt. Sie wird lokal auf einem Gerät gespeichert.
Der private Schlüssel verlässt niemals das Gerät. Der authentifizierende Server verfügt über einen öffentlichen Schlüssel, der während des Registrierungsvorgangs dem Benutzerkonto zugeordnet wird.
Die Eingabe der PIN und Hello bewirken jeweils, dass Windows 10 die Identität des Benutzers überprüft und die Authentifizierung mithilfe von Passport-Schlüsseln oder Zertifikaten durchgeführt wird.
Persönliche (Microsoft-Konto) und Unternehmenskonten (Active Directory oder Azure AD) verwenden separate Container für Schlüssel. Nicht-Microsoft-Identitätsanbieter können Schlüssel für die Benutzer im gleichen Container wie das Microsoft-Konto generieren. Alle Schlüssel werden jedoch von den Domänen der Identitätsanbieter getrennt, um den Datenschutz für Benutzer sicherzustellen.
Zertifikate werden zum Passport-Container hinzugefügt und durch die Passport-Geste geschützt.
Windows Update-Verhalten: Nach einem von Windows Update erforderlichen Neustart wird der letzte interaktive Benutzer automatisch ohne eine Benutzergeste angemeldet, und die Sitzung ist gesperrt, sodass die Apps auf dem Sperrbildschirm des Benutzers ausgeführt werden können.
Vergleichen der schlüsselbasierten und zertifikatbasierten Authentifizierung
Passport kann Schlüssel (Hardware oder Software) oder Zertifikate mit Schlüsseln in Hardware oder Software verwenden, um die Identität zu bestätigen. Unternehmen mit einer Public Key-Infrastruktur (PKI) für das Ausstellen und Verwalten von Zertifikaten können weiterhin eine PKI in Verbindung mit Passport verwenden. Unternehmen, die keine PKI verwenden oder den mit der Verwaltung von Zertifikaten verbundenen Aufwand reduzieren möchten, können sich auf schlüsselbasierte Anmeldeinformationen für Passport verlassen.
Hardwarebasierte Schlüssel, die vom TPM generiert werden, bieten die größtmöglichen Grad an Sicherheit. Wenn das TPM hergestellt ist, ist ein Endorsement Key (EK)-Zertifikat im TPM vorhanden. Dieses EK-Zertifikat erstellt eine Stammvertrauensstellung für andere Schlüssel, die in diesem TPM generiert werden.
EK-Zertifizierung wird zum Generieren eines AIK-Zertifikats (Attestation Identity Key, AIK) verwendet, das von einer Microsoft-Zertifizierungsstelle ausgestellt wurde. Dieses AIK-Zertifikat kann als Anspruchsnachweis verwendet werden, der Identitätsanbietern bestätigt, dass die Passport-Schlüssel im gleichen TPM generiert wurden. Die Microsoft-Zertifizierungsstelle (ZS) generiert das AIK-Zertifikat pro Gerät, Benutzer und IDP, um sicherzustellen, dass die Privatsphäre des Benutzers geschützt ist.
Wenn Identitätsanbietern wie Active Directory oder Azure AD ein Zertifikat in Passport registrieren, werden unter Windows 10 die gleichen Szenarien wie bei einer Smartcard unterstützt. Wenn die Anmeldeinformationen vom Typ Schlüssel sind, werden nur schlüsselbasierte Vertrauenswürdigkeit und Vorgänge unterstützt.
Weitere Informationen
Neuerungen bei Active Directory-Domänendiensten (AD DS) bei Windows Server Technical Preview
Windows Hello-Gesichtsauthentifizierung
Richtlinien für biometrische Hardware
Windows 10: Stören der Revolution der Internetbedrohungen dank revolutionärer Sicherheitsfunktionen!
Windows 10: Steht das Ende der Kennwörter und des Diebstahls von Anmeldeinformationen bevor?
Authentifizierung ohne Kennwörter mit Microsoft Passport
Verwandte Themen
Implementieren von Microsoft Passport in Ihrer Organisation
Warum ist eine PIN besser als ein Kennwort?
Vorbereiten der Benutzer auf die Verwendung von Microsoft Passport
Microsoft Passport und Kennwortänderungen