Passwortfreie FIDO2-Anmeldung bei Microsoft

Publiziert am 21. November 2018 von Günter Born

Microsoft hat mit Windows 10 Oktober 2018 Update (V1809) die passwortfreie Anmeldung für alle Dienste über den FIDO2-Standard im Edge-Browser freigegeben.

Anzeige

Das Ganze wurde gestern im Windows-Blog im Beitrag Keeping you updated on Windows Hello von Microsoft bekannt gegeben.

FIDO 2: Worum geht es?

Passwörter zur Anmeldung an Webseiten bieten die Gefahr, dass diese gehackt oder vom Benutzer vergessen werden. Daher ist es das Ziel, die Anmeldung ohne ein Kennwort, über andere Identifikationsverfahren, zu ermöglichen. 

Mit FIDO2 gibt es ein Projekt, das eine Authentifizierung an Diensten ohne Kennwort ermöglichen soll. Das FIDO2-Projekt umfasst eine Reihe von ineinandergreifenden Initiativen, die zusammen einen FIDO-Authentifizierungsstandard für das Web schaffen und das FIDO-Ökosystem erheblich erweitern.

FIDO2 besteht aus der Web-Authentifizierungsspezifikation des W3C (WebAuthn) und dem entsprechenden Client-to-Authenticator Protocol (CTAP) von FIDO. Dies soll es Benutzern ermöglichen, gemeinsame Geräte zur einfachen Authentifizierung bei Online-Diensten zu nutzen – sowohl in mobilen als auch in Desktop-Umgebungen.

WebAuthn definiert eine Standard-Web-API, die in Browser und die zugehörige Web-Plattform-Infrastruktur integriert werden kann, damit Online-Dienste die FIDO-Authentifizierung nutzen können. CTAP ermöglicht es externen Geräten wie Mobilteilen oder FIDO-Sicherheitsschlüsseln, mit WebAuthn zu arbeiten und als Authentifikatoren für Desktop-Anwendungen und Webservices zu dienen.

Mehrere gängige Webbrowser wie Chrome, Firefox und Microsoft Edge haben die Standards implementiert; Android, Windows 10 und verwandte Microsoft-Technologien sollen ebenfalls über eine integrierte Unterstützung für die FIDO-Authentifizierung verfügen.

Microsoft setzt FIDO2 beim Edge um

Mit Windows 10 V1809 hat Microsoft nun die Anmeldung nach FIDO2-Standard im Microsoft Edge implementiert. Nutzer können sich jetzt mit ihrem Microsoft-Konto bei Online-Microsoft-Diensten über Windows Hello oder einen kompatiblen Sicherheitsschlüssel anmelden!

Ein Sicherheitsschlüssel ist ein kleines USB- oder NFC-Gerät (Near Field Communication) mit integrierter erweiterter Sicherheit, das Ihre Zugangsdaten schützt, indem es biometrische Daten oder eine PIN benötigt, um sie zu entsperren.

Ein Microsoft-Konto bietet den Zugriff auf digitale Dienste von Microsoft – von OneDrive bis hin zu Einkäufen im Microsoft Store und mehr. Im Microsoft-Artikel finden sich Videos, die das Ganze demonstrieren. Martin Geuß hat bei Dr. Windows einen kurzen Artikel zum Thema publiziert.

Anzeige

Passwortlose Anmeldung mit dem YubiKey 5

Heute hat Yubico die Implementierung seiner FIDO2-fähigen Produkte der YubiKey 5 Series und Security Key zur passwortlosen Anmeldung an Microsoft-Konten (Microsoft Accounts, MSA) bekannt gegeben. Das bedeutet, dass sich nun Millionen von Nutzern ohne Passwort mit dem YubiKey 5 oder dem Security Key von Yubico bei ihren persönlichen Microsoft-Konten anmelden können.

Mit dem neuesten Update für Windows 10 (Version 1809) und der bestehenden nativen Unterstützung in Edge unterstützen nun alle Microsoft-Verbraucherkonten die passwortlose Anmeldung über FIDO2/WebAuthn. Benutzer mit einem Microsoft-Konto und einem YubiKey können sich nun schnell und sicher bei den folgenden Microsoft-Diensten in Edge anmelden (und automatisch Single Sign-On verwenden):

  • Microsoft-Benutzerkonto
  • Cortana
  • Outlook
  • Office
  • Skype
  • OneDrive
  • XBOX
  • Bing
  • Windows Store
  • Microsoft Windows
  • MSN

Das heißt: Nur eine einzige Anmeldung, keine Passwörter und müheloser Zugriff auf dutzende Microsoft-Dienste. Laut Anbieter wird "Die passwortlose Anmeldung grundlegend die Art und Weise, wie geschäftliche Nutzer und Konsumenten auf Geräte und Anwendungen zugreifen können, verändern. Sie vereint unerreichte Benutzerfreundlichkeit und Sicherheit in einer Lösung, die die Benutzer lieben und die Hacker hassen werden." Alex Simons, Corporate Vice President, Microsoft Identity Division meint "FIDO2 ist ein entscheidender Bestandteil von Microsofts Vorstoß zur Eliminierung der Passwörter. "

Einen YubiKey für ein Microsoft-Konto registrieren

Um von den neuen Sicherheitsfunktion zu profitieren, benötigen Benutzer einen FIDO2-fähigen Sicherheitstoken der YubiKey 5-Serie oder Security Key by Yubico (gibt es bei Amazon.de). Diese USB-Sticks sind dann am Microsoft-Konto zu registrieren. Möglich ist dies entweder über den USB-A oder USB-C-Port (YubiKey 5 NFC, YubiKey 5 Nano, YubiKey 5C, YubiKey 5C Nano, Security Key von Yubico) oder via kabelloser NFC (Near-Field Communication)-Verbindung (YubiKey 5 NFC). 

  1. Starten Sie zunächst Microsoft Edge unter Windows 10 mit dem neuesten Update (Version 1809). Gehen Sie dann auf die Microsoft-Kontoseite und melden Sie sich wie gewohnt an. Klicken Sie auf Sicherheit > Weitere Sicherheitsoptionen und wählen Sie Sicherheitsschlüssel einrichten aus.
  2. Identifizieren Sie den Typ Ihres YubiKeys (USB oder NFC) und wählen Sie Weiter aus.
  3. Sie werden zum Einrichtungsbildschirm weitergeleitet, auf dem Sie Ihren YubiKey 5 oder Security Key einfügen oder eintippen. Dadurch wird ein eindeutiges Schlüsselpaar (öffentlich/privat) für die Datenübertragung zwischen Ihrem YubiKey und Ihrem Microsoft-Konto erzeugt, und nur der YubiKey speichert den privaten Schlüssel. Der private Schlüssel verlässt zu keiner Zeit Ihr Gerät. Der öffentliche Schlüssel wird bei dem Microsoft-Dienst gespeichert, damit Ihre Authentisierung überprüft werden kann. 
  4. Nun werden Sie aufgefordert, eine eindeutige PIN zu erstellen, um Ihren Schlüssel zu schützen. Diese PIN wird lokal auf dem YubiKey gespeichert – nicht in Microsoft-Konten. 
  5. Führen Sie die Nachfassaktion durch, indem Sie die goldene Kontaktfläche Ihres YubiKeys berühren.
  6. Benennen Sie Ihren Sicherheitsschlüssel, damit Sie ihn von anderen Schlüsseln unterscheiden können (wir empfehlen stets, einen zusätzlichen YubiKey als Backup einzurichten).
  7. Melden Sie sich ab, öffnen Sie Microsoft Edge und wählen Sie Stattdessen Sicherheitsschlüssel verwenden. Melden Sie sich dann durch Einfügen oder Tippen mit Ihrem Schlüssel und Eingabe Ihrer PIN an.

Mit diesem Schritte wurde das Passwort für das Microsoft-Konto erfolgreich durch eine starke hardwarebasierte Authentifizierung mit Public-Key-Verschlüsselung ersetzt. Diese schützt effektiv vor Phishing- und Man-in-the-Middle-Angriffen. Weitere Details gibt es unter yubico.com/go-passwordless/microsoft.

Authentisierung in anderen Konten

Neben FIDO2 unterstützt die YubiKey 5 Serie auch: FIDO U2F, PIV (Smartcard), OpenPGP, Yubico OTP, OATH-TOTP, OATH-HOTP und Challenge-Response. Dasselbe Gerät ist also dazu geeignet nicht nur Microsoft-Konten zu schützen, sondern kann auch für Passwort-Manager, Social-Media-Konten und diversen anderen Diensten verwendet werden. Im Works with YubiKey-Katalog sind alle Dienste aufgelistet, die den YubiKey unterstützen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Passwortfreie FIDO2-Anmeldung bei Microsoft

  1. Fischer, Robert sagt:
    22. November 2018 um 12:01 Uhr

    Guten Tag,

    sehr guter Artikel.
    Eine kleine Anmerkung nur: Es wäre gut gewesen, wenn Sie den "Works with YubiKey-Katalog" einmal verlinkt hätten.

    Ansonsten alles perfekt!

    Antworten
  2. MDAG sagt:
    30. August 2019 um 11:19 Uhr

    Moin,

    ein interssanter Artikel für war. Doch stand heute 30.08.2019 sagt mir Edge zum Beipsiel bei dme Versuch einen Sicherheitsschlüssel einzurichten, das das Betriebssystem (Windows 10) und der Browser diese Funktion nicht unterstützen. Also Entweder FIDO2 und Yubikey werden unterstützt oder eben nicht. Ich habe nicht vor wöchentlich prüfen zu müssen ob die Implementierung dann doch irgendwann statt gefunden hat. Meinen Yubikey möchte ich genau JETZT einrichten.

    Na ja, nichts ist eben perfekt und oftmals kommen Informationen zu früh.

    Antworten
  3. Joshi Ki sagt:
    2. September 2019 um 19:28 Uhr

    Hallihallo,
    vielen Dank für den Artikel!! Ich habe mir einen Yubikey 5 NFC zugelegt und alles hat mit dieser Anleitung wunderbar funktioniert. Ich kann jetzt meinen Microsoft-Account, also den Windows-Computer mit einem kleinen Tip auf den Yubikey, also ohne Passworteingabe, starten.
    Vielen Dank

    Antworten
  4. Harry sagt:
    15. September 2019 um 21:08 Uhr

    Kann man sich dann nur noch per Yubikey anmelden, wird die Anmeldung per Passwort damit deaktiviert? Gibt es dann noch einen Weg, zurück in den Account wenn der Key weg/defekt ist und man keinen Backup-Key bereit hat?

    Antworten
  5. JEfe sagt:
    31. Januar 2020 um 09:24 Uhr

    "Mit diesem Schritte wurde das Passwort für das Microsoft-Konto erfolgreich durch eine starke hardwarebasierte Authentifizierung mit Public-Key-Verschlüsselung ersetzt."

    Ist dies wirklich so? Bei Anmeldungen bspw. bei outlook.com wird mir der Security Key als komplementärer Login angezeigt, nicht als ausschließlicher. Insofern bietet es immer noch nicht dasselbe Sicherheitsniveau wie bspw. das Advanced Protection Programme von Google, bei dem man tatsächlich nur mit Key einloggen kann, dies jedoch als zweiten Faktor zusätzlich zum Passwort.

    So zumindest meine Erfahrung bei den Onlinediensten von MS. Ob sich das bei Windows anders verhält kann ich nicht sagen. Ich würde es aber vermuten, denn ich kann ja auch so wählen zwischen Login mit PW, PIN oder Fingerabdruck (wenn ich alles eingerichtet habe).

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.