Kennwörter ersetzen mit Windows Hello for Business

Mit Windows Hello for Business können Sie in Windows 10 Ihre Kennwörter durch eine starke zweistufige Authentifizierung für Desktops und mobile Geräte ersetzen. Diese neue Art der Benutzeranmeldeinformation ist jeweils an ein Gerät gekoppelt. Verwendet wird ein biometrisches Merkmal (Gesichtserkennung oder Fingerabdruck) oder eine PIN.

Häufige Probleme mit sicheren Kennwörtern

Diese Probleme mit sicheren Kennwörtern sind bekannt: Benutzer können sich diese schlecht einprägen und verwenden daher häufig die gleichen Kennwörter für mehrere Logins für unterschiedliche Apps und Webseiten. Damit sind Kennwörter oft auch ein Ziel von Replay-Angriffen. Gefahren gibt es auch bei Phishing-Angriffen, denn dort könnten Benutzer ihre Passwörter versehentlich offenbaren.

Mit Windows Hello werden Nutzern Authentifizierungen für folgende Konten ermöglicht:

• Microsoft-Konto
• Active Directory-Konto
• Microsoft Azure Active Directory (Azure AD)-Konto
• Identitätsanbieterdienste oder Dienste vertrauender Seiten

Was ist der Unterschied zwischen Windows Hello und Windows Hello for Business?

Im Gegensatz zu Windows Hello ist Windows Hello for Business durch eine Gruppenrichtlinie oder eine MDM-Richtlinie (Mobile Device Management) konfiguriert und verwendet immer eine Schlüssel-basierte oder zertifikatbasierte Authentifizierung. Damit ist Windows Hello for Business viel sicherer als Windows Hello mit seiner Benutzer-PIN. Administratoren können Gruppen-Richtlinien zum Verwalten von Windows Hello for Business-Verwendung auf Windows 10-basierten Geräten erstellen. 

Vorteile von Windows Hello for Business

Hier noch einmal die wichtigsten Fakten:

• Windows Hello-Anmeldeinformationen mit Zertifikat oder asymmetrischem Schlüsselpaar.
• Anmeldeinformationen und Token können Gerät gebunden sein.
• Identitätsanbieter (z.B. Microsoft-Konto) überprüft die Benutzeridentität und ordnet den öffentlichen Schlüssel von Windows Hello während des Registrierungsschritts einem Benutzerkonto zu.
• Schlüssel können in der Hardware oder in der Software generiert werden.
• Zweistufige Authentifizierung mit einer Kombination aus einem Geräte gebundenen Schlüssel oder einem Zertifikat sowie PIN oder Biometrie (Gesichtskennung, Fingerabdruck). 
• Keine Gerätewechsel und keine Serverfreigabe der Windows Hello-Geste
• Lokale Gerätespeicherung der Biometrie-Vorlagen
• PIN wird nie gespeichert oder freigegeben.
• Privater Schlüssel bleibt im Gerät. 
• Alle Schlüssel werden von den Domänen der Identitätsanbieter getrennt, um den Datenschutz für Benutzer sicherzustellen.
• Private Zertifikatschlüssel können durch den Windows Hello-Container und die Windows Hello-Geste geschützt werden.

Sie möchten mehr über Windows Hello for Business erfahren? Sprechen Sie uns dazu bitte jederzeit gern an. Wir helfen Ihnen bei der Implementierung von Windows Hello for Business in Ihrem Unternehmen.