Windows 10 fördert "passwortfreie" Zukunft

18. Februar 2015, 16:15
  • security
  • microsoft
  • windows 10
image

Mit Passwörtern haben User ihre liebe Mühe.

Mit Passwörtern haben User ihre liebe Mühe. Entweder sind sie kompliziert und lang und gehen gern vergessen. Oder sie sind kurz, einfach und unsicher - und gehen trotzdem gerne vergessen. Viele Security-Experten glauben, dass ein Übergang von Passwörtern zu anderen, stärkeren Authentisierungsmethoden die Sicherheit im Web verbessern könnte.
Microsoft hat nun angekündigt, dass Windows 10 den offenen "Fast Identity Online"-Standard - abgekürzt FIDO - unterstützen wird. Damit wird der passwortfreie Zugang zu Windows 10, Office 365 und Azure Active Directory sowie Produkten und Services von Drittunternehmen wie Salesforce, Citrix und Box möglich. Weitere Anbieter werden wohl folgen und FIDO ebenfalls unterstützen.
Die FIDO-Allianz, zu der neben Microsoft unter anderem Samsung, Visa, PayPal, RSA, MasterCard, Google, Lenovo, und ARM gehören, möchte Online-Authentisierungsmethoden durch die Entwicklung eines offenen Frameworks revolutionieren. Dieses entwickelt zwei Standards. Beim ersten, der vor allem für Mobilgeräte gedacht ist, wird eine passwortfreie Authentisierung mittels biometrischer Methoden unterstützt. Dazu gehören Fingerabdrücke, Stimmmustererkennung, Gesichtserkennung oder ähnliches. Der zweite Standard unterstützt zusätzlich die Verwendung eines weiteren Faktors. Dies kann ein klassisches Passwort oder auch ein einfacher PIN-Code sein.
Der Clou beider Standards ist, dass weder Fingerabdruckmuster noch andere biometrische Daten oder Passwörter das Gerät des Users verlassen. Sie werden also nicht an die Website beziehungsweise den Service gesandt, bei dem man sich anmelden will. Dadurch, so verspricht die FIDO-Allianz, sollten traditionelle Phishing- und Man-in-the-Middle-Attacken unterlaufen werden.
Das funktioniert durch eine Anmeldung in zwei Schritten: Wenn ein Client erstmals bei einem bestimmten Service, beispielsweise einer E-Banking-Site oder einem Unternehmensnetzwerk, registriert wird, wird ein Public/Private-Schlüsselpaar erzeugt. Der Service erhält den öffentlichen Schlüssel, der private Schlüssel bleibt auf dem Client und wird selbst wiederum verschlüsselt. Bei einer Anmeldung authentisiert sich der User, beispielsweise mit seinem Fingerabdruck, gegenüber seinem Client. Erst dann kann dieser im zweiten Schritt den privaten Schlüssel verwenden, um damit Anfragen an den Service zu verschlüsseln und sich somit selbst zu authentisieren. (hjm)

Loading

Mehr zum Thema

image

Bund beschafft zentrale Bug-Bounty-Plattform

Das NCSC leitet die künftigen Programme, Bug Bounty Switzerland liefert und verwaltet die Plattform.

publiziert am 3.8.2022
image

Elektronikhersteller Semikron meldet Cyberangriff

Der deutsche Spezialist für Leistungselektronik mit einer Niederlassung in Interlaken wurde mit Ransomware attackiert. Offenbar wurden auch Daten entwendet.

publiziert am 3.8.2022
image

VMware muss wieder ein böses Loch stopfen

Die Lücke hat den Bedrohungsgrad 9,8 von 10 auf der CVSS-Skala und betrifft mehrere VMware-Produkte.

publiziert am 3.8.2022
image

Sorge vor Hackerangriff verzögert Ab­stimmung über Johnson-Nachfolge

Die Wahl des nächsten Premierministers wird laut Medien­berichten auf Anraten des Nationalen Cybersicherheits­zentrums verschoben. Stimmen hätten manipuliert werden können.

publiziert am 3.8.2022