Anmeldung ohne Passwort ist im Consumer Bereich schon weit verbreitet

Im Consumer Bereich hat sich die passwortfreie, „biometrische“ Anmeldung bereits vielerorts durchgesetzt. Mit „Face ID“ von Apple, „Windows Hello“ von Microsoft oder dem „Fingerprint“ Login auf mobilen Geräten, gibt es heute eine breite Palette von Lösungen für die einfache, komfortable Anmeldung ohne Passwort. Passwortfreie Logins sind mittlerweile im Consumer Alltag angekommen und nicht mehr wegzudenken.

Bei der geschäftlichen Nutzung im Business Bereich sieht es hingegen anders aus. Hier erfolgt die Anmeldung i.d.R. grösstenteils immer noch mit Passwörtern. Weiter werden häufig zusätzliche Sicherheitsfeatures wie 2-Factor und Multifactor Authentication (MFA) eingesetzt, die die Sicherheitsrisiken erheblich reduzieren (um bis zu 99.9%!). Diese Sicherheitsfeatures bringen jedoch für die Benutzer auch eine zusätzliche Hürde mit sich, was sich wiederum auf die User Acceptance auswirkt.

Okta, der Branchenleader rund um Identity und Authentication Management, hat im Juni dieses Jahres einen Report zur passwortfreien Zukunft veröffentlicht. Der Report zeigt unmissverständlich auf, welche Nachteile die heute noch weit verbreitete passwortbasierte Authentifizierung mit sich bringt.

Zusammengefasst werden im Report folgende Problematiken mit Passwörtern identifiziert:

  • Über 80% der Datenlecks sind auf schwache, gestohlene oder wiederverwendete Passwörter zurückzuführen.
  • Nur ca. 28% der Identities sind mit MFA geschützt.
  • Benutzer müssen sich verschiedenste Passwörter merken, was dazu verleitet einfache Passwörter zu wählen, oder diese für mehrere Identities wiederzuverwenden.
  • Viel Mehraufwand für den IT Support, welcher sich regelmässig mit Supportanfragen rund um Passwörter kümmern muss.
  • Ein Passwort ist ein „shared secret“, was aus Security Sicht ein grosses Problem darstellt.

Zwar können Massnahmen wie Passwort Manager und Single Sign On diese Problematiken etwas entschärfen, bieten aber keine „Lösung“ für das Problem „Passwort“.

 

Weshalb „passwordless“ sich im Alltag als praktischer und auch sicherer bewährt

Wieso ist eine Anmeldung ohne Passwort auch im Business Bereich die Zukunft? Hier kommt der neue Standard WebAuthn (Web Authentication) von W3C und FIDO ins Spiel, welcher in Zusammenarbeit mit Tech Giganten wie Google, Microsoft, Mozilla erstellt wurde. WebAuthn ist Teil des FIDO2 Frameworks. Der neue Ansatz basiert ähnlich wie bei TLS Zertifikaten auf einer Public Key Cryptographie.

Bestandteil der WebAuthn Authentifizierung ist ein sogenannter Authenticator. Dies kann z.B. Apples „Face ID“, Microsofts „Windows Hello“, eine App aber auch ein Hardware-basierter Authenticator sein (z.B. USB Stick). Der Authenticator ist der Manager der Credentials. Er hält als einziger alle Informationen (Private/Public Key, Service Metadaten, Scope, etc.). Wird ein User Account registriert, erstellt der Authenticator ein Keypair (Public/Private) und sendet den Public Key an den Server. Dieser registriert anschliessend den User und sendet Statusinformationen und Metadaten an den Authenticator zurück.

Will sich  der User authentifizieren, so muss er dem Server eine Signatur (signiert mit dem Private Key) übermitteln. Der Server kann seinerseits die Signatur mit dem Public Key, den er bei der Registrierung erhalten hat, verifizieren.

Mit diesem Verfahren wird niemals ein „shared secret“ über das Netzwerk/Internet transportiert, und die oben angesprochenen 80% der Datenlecks können auf einen Schlag vermieden werden. Microsoft hat dies in ihrem Whitepaper zu Passwordless Protection schön visualisiert. Wer noch etwas tiefer eintauchen möchte, hier geht’s zu den Basics.

 

 

Azure AD bietet nun auch die „passwordless“ Authentifizierung an

Nun zu der eigentlichen Neuigkeit. Azure AD hat per 10. Juli 2019 eine FIDO2 Implementation von Passwordless als Preview Feature aufgeschaltet. Via Authentication Method Policies (Azure Active Directory > Authentication Methods) können User oder Gruppen für Passwordless Sign-In konfiguriert werden.

Dazu gibt’s 2 Optionen

  • FIDO2 Security Key (Integration von Drittanbietern von Security Keys)
  • Microsoft Authenticator Passwordless Sign-In

 

 

Wir beschränken uns in diesem Artikel auf die Option mit dem Microsoft Authenticator. Damit das Ganze funktioniert, müssen einige Vorbedingungen erfüllt sein:

  • Azure AD P1/P2 Lizenz (Conditional Access und Multifactor Authentification MFA werden vorausgesetzt).
  • Benutzer die sich Passwordless anmelden wollen müssen MFA enabled sein.
  • Benutzer/Gruppe muss explizit für Passwordless Authentication aktiviert werden. Es können auch alle User direkt aktiviert werden.

Sind diese Vorbedingungen erfüllt, erhält der Benutzer beim nächsten Login, nachdem er wie üblich seine E-Mail Adresse eingegeben hat, folgende User Experience:

  1. Der Benutzer wird aufgefordert die Microsoft Authenticator App zu installieren. (Aktuell wird nur der Microsoft Authenticator unterstützt, dank FIDO2 Compliance werden 3rd Party Devices/Apps in Kürze folgen)
  2. QR Code für die Account Erstellung in der Authenticator App wir angezeigt.
  3. In der Authenticator App mittels „Add Account“ wird ein neuer Account angelegt.
  4. Der entsprechende Accounttyp muss ausgewählt werden.
  5. Anschliessend kann der QR Code aus Schritt 2 eingescannt werden. Der Account wird sogleich angelegt und der Benutzer gelangt auf die Übersichtsseite der Accounts.
  6. Der Account muss nun noch für die Anmeldung per Telefon aktiviert werden.

 

 

Je nach Azure AD Konfiguration kann es noch möglich sein, dass das mobile Gerät in Azure AD registriert werden muss. Falls dies der Fall ist, würde die App den Benutzer dazu auffordern, und er könnte durch Eingabe seiner Credentials (E-Mail und Passwort) die Registrierung gleich in der Authenticator App vornehmen.

Sobald das Setup abgeschlossen ist, muss der Benutzer beim Login nur noch seine E-Mail Adresse eingeben und wird anschliessend aufgefordert in der Authenticator App die Anmeldung abzuschliessen.

  1. Dem Benutzer wird eine zufällige Zahl angezeigt, und er wird aufgefordert die Authenticator Push Message auf seinem mobilen Gerät zu öffnen.
  2. Der Authenticator liefert nun drei Zahlen zur Auswahl, wobei der Benutzer die Zahl aus Schritt 1 auswählen und genehmigen muss.
  3. Die Bestätigung in der Authenticator App kann biometrisch (Fingerprint/Face ID/Hello) oder aber auch via PIN erfolgen.
    Wichtig: Hier wird der Security Mechanismus des jeweiligen Smartphones verwendet, welcher bei erfolgreicher Prüfung den Zugriff auf den „Credential Store“ des Authenticators erlaubt, und die Signierung der AuthMessage (Assertion) vornimmt.

 

 

 

That’s it, danach ist der Benutzer mit seinem Office 365 oder einer beliebigen mit Azure AD gesicherten Applikation eingeloggt.

Fazit

Es ist nicht mehr eine Frage, ob sich die Anmeldung ohne Passwort „Passwordless“ auch im Business Umfeld durchsetzen wird. Es ist nur noch die Frage, wann die Unternehmen die Transition von Password-basierten Credentials zu Passwordless (Public Key Credentials) angehen werden. Die Vorteile auf Seite Security und User Acceptance liegen auf der Hand, und werden sich durchsetzen.

Tipp für die Security Officers

Überlegen Sie sich schon heute, ob und wie eine Transition zu „Passwordless“ in Ihrem Unternehmen aussehen könnte, und behalten Sie die Entwicklung der Azure AD Passwordless Features im Auge. Der Start eines Proof of Concepts um offene Fragestellungen zu klären, ist bereits heute eine gute Entscheidung.
Eine sofortige Transition zu Passwordless, wird sich aufgrund der zahlreich vorhandenen Legacy Applikationen wohl noch nicht umgehend flächendeckend umsetzen lassen. Aber auch hier wird Microsoft spätestens mit der General Availability des Passwordless Features sicherlich Optionen und Lösungen bieten können.

Stay tuned!

Wollen auch Sie mit den Entwicklungen von Azure AD, Azure im Allgemeinen oder Office 365 auf dem Laufenden bleiben? Haben Sie konkrete Fragestellungen oder Projekte? Kontaktieren Sie uns. Unsere Experten helfen Ihnen gerne weiter.

 

Quellen und weiterführende Ressourcen zu Azure AD Passwordless