Was wie eine einfache Begrüßung klingt ist genauer betrachtet eine wirkungsvolle Technologie und Microsofts Weg in eine Welt welche Windows 10 Anwendern eine einfache aber sichere Authentifizierungsmethode zur Verfügung stellt. Der Ansatz biometrische Erkennungsmerkmale an ein Gerät zu binden erhöht die Sicherheit. Vergleichbare Mechanismen verwenden Banken beim Zugriff auf Geldautomaten. Hierfür wird neben einer persönlichen PIN auch eine dazu passende EC- Karte benötigt. Nur mit der PIN, fängt man im Endeffekt nicht viel an.

Als biometrisches Erkennungsmerkmal kann ein Gesichtsscan sowie der Fingerabdruck des Anwenders erfasst werden. Zusätzlich können an Windows HELLO sogenannte Begleitgeräte registriert werden welche Ihrem Computer signalisieren, dass Ihre Identität „anwesend“ ist. Als Begleitgerät kann hierfür eine Smartwatch, ein Smartphone oder ein Fitnessarmband dienen. Alternativ können Sie auch einen sicheren PIN hinterlegen. Auch hierbei denkt HELLO mit und verhindert das festlegen zu einfacher PINs. Z.B. PINs welche sich wiederholenden oder aufeinanderfolgende Ziffern bzw. Zahlenblöcken zusammensetzen.

Somit wird es in Zukunft immer seltener notwendig ein komplexes Kennwort einzugeben welches man sich unter Umständen nur schwer merken kann oder gar auf einem Zettel unter der Tastatur aufbewahrt. Von simplen Kennwörtern mal ganz zu schweigen.

 

Voraussetzungen und Möglichkeiten

Microsoft empfiehlt für die meisten Szenarien auf Seite der Clients ein Windows 10 der Version 1511 (November-Update). Je nach Anforderung kann unter Umständen aber auch ein Windows 10 der Version 1703 (Creators Update) notwendig sein.

Serverseitig setzt Microsoft ein Windows Server 2016-Schema Voraus. Die Domänen-/ Gesamtstrukturfunktionsebene sollte mindestens Windows Server 2008 R2 betragen. Als Bereitstellungsmodell wird eine lokale Bereitstellung für Organisationen ohne Cloud- Anbindung, eine Hybridbereitstellung oder eine Cloud- basierende Bereitstellung unterstützt.

Authentifizierungen können in Verbindung mit Windows HELLO durch das Ausstellen von Endbenutzerzertifikaten mittels einer vorhandene PKI oder schlüsselbasierend durchgeführt werden. Beim schlüsselbasierenden Vertrauensmodell ist keine Public Key Infrastruktur notwendig.

 

Grundlegende Funktionsweise

Bei der Aktivierung von HELLO auf einem Gerät wird ein privater und ein öffentlicher Schlüssel generiert. Empfohlen ist es, den privaten Schlüssel im TPM Speicher abzulegen. So verlässt dieser Schlüssel niemals das eigene Gerät. Die Authentifizierung gegenüber einem Identitätsprovider erfolgt dann aus der Kombination von Schlüssel/ Zertifikat und einem PIN/ biometrischem Merkmal. Somit kann der öffentliche Schlüssel durch den Identitätsprovider einem Benutzerkonto zugeordnet werden ohne, dass der Anwender Benutzernamen und Kennwort benötigt.

 

Redakt.: Markus Potz