Freigeben über

Kennwortlose Anmeldung

  • Artikel
  • Gilt für::
    Windows 11

Diagramm mit einer Liste der Sicherheitsfeatures.

Kennwörter sind ein grundlegender Bestandteil der digitalen Sicherheit, aber sie sind oft unbequem und anfällig für Cyberangriffe. Mit Windows 11 können Benutzer den kennwortlosen Schutz genießen, der eine sicherere und benutzerfreundlichere Alternative bietet. Nach einem sicheren Autorisierungsprozess werden Anmeldeinformationen durch mehrere Ebenen der Hardware- und Softwaresicherheit geschützt, sodass Benutzer nahtlosen, kennwortlosen Zugriff auf ihre Apps und Clouddienste erhalten.

Windows Hello

Kennwörter sind zu oft schwach, gestohlen oder vergessen. Organisationen setzen auf eine kennwortlose Anmeldung, um das Risiko von Sicherheitsverletzungen zu verringern, die Kosten für die Verwaltung von Kennwörtern zu senken und die Produktivität und Zufriedenheit ihrer Benutzer und Kunden zu verbessern. Microsoft ist bestrebt, Organisationen bei der Entwicklung einer sicheren, kennwortlosen Zukunft mit Windows Hello, einem Eckpfeiler von Windows-Sicherheit und Identitätsschutz, zu unterstützen.

Windows Hello können die kennwortlose Anmeldung mit biometrischer Oder PIN-Überprüfung aktivieren und bieten integrierte Unterstützung für den branchenübliche Branchenstandard FIDO2. Daher müssen Personen keine externe Hardware mehr wie einen Sicherheitsschlüssel für die Authentifizierung mit sich führen.

Die sichere, bequeme Anmeldung kann Kennwörter durch ein stärkeres Authentifizierungsmodell erweitern oder ersetzen, das auf einer PIN oder biometrischen Daten basiert, z. B. Gesichts- oder Fingerabdruckerkennung, die durch das Trusted Platform Module (TPM) gesichert wird. Schritt-für-Schritt-Anleitung erleichtert die Einrichtung.

Mit im TPM bereitgestellten asymmetrischen Schlüsseln schützt Windows Hello die Authentifizierung, indem die Anmeldeinformationen eines Benutzers an sein Gerät gebunden werden. Windows Hello überprüft den Benutzer basierend auf einer PIN oder einer biometrischen Übereinstimmung und lässt erst dann die Verwendung von kryptografischen Schlüsseln zu, die an diesen Benutzer im TPM gebunden sind.

PIN- und biometrische Daten verbleiben auf dem Gerät und können nicht extern gespeichert oder darauf zugegriffen werden. Da niemand ohne physischen Zugriff auf das Gerät auf die Daten zugreifen kann, sind Die Anmeldeinformationen vor Replay-Angriffen, Phishing und Spoofing sowie der Wiederverwendung von Kennwörtern und Lecks geschützt.

Windows Hello können Benutzer bei einem Microsoft-Konto (MSA), Identitätsanbieterdiensten oder den vertrauenden Parteien authentifizieren, die auch die FIDO2- oder WebAuthn-Standards implementieren.

Weitere Informationen

Windows Hello-PIN

Die Windows Hello PIN, die nur von einer Person mit physischem Zugriff auf das Gerät eingegeben werden kann, kann für eine starke mehrstufige Authentifizierung verwendet werden. Die PIN wird durch das TPM geschützt und verlässt das Gerät nie wie biometrische Daten. Wenn ein Benutzer seine PIN eingibt, wird ein Authentifizierungsschlüssel entsperrt und zum Signieren einer Anforderung verwendet, die an den Authentifizierungsserver gesendet wird.

Das TPM schützt vor Bedrohungen, einschließlich PIN-Brute-Force-Angriffen auf verlorene oder gestohlene Geräte. Nach zu vielen falschen Vermutungen wird das Gerät gesperrt. IT-Administratoren können Sicherheitsrichtlinien für PINs festlegen, z. B. Komplexitäts-, Längen- und Ablaufanforderungen.

Neu in Windows 11, Version 24H2

Wenn Ihr Gerät nicht über integrierte biometrische Daten verfügt, wurde Windows Hello so erweitert, dass standardmäßig virtualisierungsbasierte Sicherheit (VBS) verwendet wird, um Anmeldeinformationen zu isolieren. Diese zusätzliche Schutzebene hilft beim Schutz vor Angriffen auf Administratorebene. Auch wenn Sie sich mit einer PIN anmelden, werden Ihre Anmeldeinformationen in einem sicheren Container gespeichert, um den Schutz auf Geräten mit oder ohne integrierte biometrische Sensoren zu gewährleisten.

Windows Hello biometrisch

Windows Hello biometrische Anmeldung erhöht sowohl die Sicherheit als auch die Produktivität durch eine schnelle und bequeme Anmeldung. Es ist nicht erforderlich, Ihre PIN einzugeben. Verwenden Sie einfach Ihre biometrischen Daten für eine einfache und angenehme Anmeldung.

Windows-Geräte, die biometrische Hardware unterstützen, z. B. Fingerabdruck- oder Gesichtserkennungskameras, können direkt in Windows Hello integriert werden, sodass der Zugriff auf Windows-Clientressourcen und -dienste ermöglicht wird. Biometrische Lesegeräte für Gesicht und Fingerabdruck müssen Windows Hello biometrischen Anforderungen entsprechen. Windows Hello Gesichtserkennung ist für die Authentifizierung nur von vertrauenswürdigen Kameras konzipiert, die zum Zeitpunkt der Registrierung verwendet wurden.

Wenn eine Peripheriekamera nach der Registrierung an das Gerät angeschlossen ist, kann sie für die Gesichtsauthentifizierung verwendet werden, nachdem sie durch Anmeldung mit der internen Kamera überprüft wurde. Um die Sicherheit zu erhöhen, können externe Kameras für die Verwendung mit Windows Hello Gesichtserkennung deaktiviert werden.

Weitere Informationen

Windows-Anwesenheitserkennung

Die Windows-Anwesenheitserkennung[9] bietet eine weitere Datenschutzebene für Hybrid Worker. Windows 11 Geräte können sich intelligent an die Anwesenheit eines Benutzers anpassen, um ihn dabei zu unterstützen, sicher und produktiv zu bleiben, unabhängig davon, ob er zu Hause, im Büro oder in einer öffentlichen Umgebung arbeitet.

Die Windows-Anwesenheitserkennung kombiniert Anwesenheitserkennungssensoren mit Windows Hello Gesichtserkennung, um den Benutzer freihändig zu signieren, und sperrt das Gerät automatisch, wenn der Benutzer das Gerät verlässt. Beim adaptiven Dimmen dimmt der PC den Bildschirm, wenn der Benutzer auf kompatiblen Geräten mit Anwesenheitssensoren wegschaut. Es ist auch einfacher als je zuvor, Anwesenheitssensoren auf Geräten zu konfigurieren, mit einfacher Aktivierung in der sofort einsatzbereiten Umgebung und neuen Links unter Einstellungen, um Anwesenheitserkennungsfeatures zu finden. Gerätehersteller können Erweiterungen für den Anwesenheitssensor anpassen und erstellen.

Datenschutz steht an oberster Stelle und ist wichtiger denn je. Kunden wünschen sich mehr Transparenz und Kontrolle über die Verwendung ihrer Informationen. Mit den neuen App-Datenschutzeinstellungen können Benutzer den Zugriff auf ihre Anwesenheitssensorinformationen zulassen oder blockieren. Benutzer können diese Einstellungen während der einrichtung der ersten Windows 11 festlegen.

Benutzer können auch präzisere Einstellungen nutzen, um differenzierte Anwesenheitserkennungsfeatures wie Wake on Approach, Lock On Leave und adaptives Dimming auf einfache Weise zu aktivieren und zu deaktivieren. Außerdem unterstützen wir Entwickler mit neuen APIs für die Anwesenheitserkennung für Drittanbieteranwendungen. Anwendungen von Drittanbietern können jetzt auf Anwesenheitsinformationen von Benutzern auf Geräten mit Anwesenheitssensoren zugreifen.

Weitere Informationen

Windows Hello for Business

Windows Hello for Business erweitert Windows Hello auf die Arbeit mit den Active Directory- und Microsoft Entra ID-Konten eines organization. Sie bietet SSO-Zugriff auf Geschäfts-, Schul- oder Uniressourcen wie OneDrive, geschäftliche E-Mails und andere Geschäfts-Apps. Windows Hello for Business bietet IT-Administratoren auch die Möglichkeit, PIN und andere Anmeldeanforderungen für Geräte zu verwalten, die eine Verbindung mit Arbeits- oder Schulressourcen herstellen.

Nachdem Windows Hello for Business bereitgestellt wurde, können Benutzer eine PIN, ein Gesicht oder einen Fingerabdruck verwenden, um Anmeldeinformationen zu entsperren und sich bei ihrem Windows-Gerät anzumelden.

Zu den Bereitstellungsmethoden gehören:

  • Passkeys (Vorschau), die Benutzern eine nahtlose Möglichkeit bieten, sich bei Microsoft Entra ID zu authentifizieren, ohne einen Benutzernamen oder ein Kennwort einzugeben.
  • Temporärer Zugriffspass (Temporary Access Pass, TAP), eine zeitlich begrenzte Kennung mit strengen Authentifizierungsanforderungen, die über Microsoft Entra ID
  • Vorhandene mehrstufige Authentifizierung mit Microsoft Entra ID, einschließlich der Microsoft Authenticator-App

Windows Hello for Business erhöht die Sicherheit, indem herkömmliche Benutzernamen und Kennwörter durch eine Kombination aus einem Sicherheitsschlüssel oder Zertifikat und einer PIN oder biometrischen Daten ersetzt werden. Dieses Setup ordnet die Anmeldeinformationen sicher einem Benutzerkonto zu.

Es stehen verschiedene Bereitstellungsmodelle für Windows Hello for Business zur Verfügung, die Flexibilität bieten, die unterschiedlichen Anforderungen verschiedener Organisationen zu erfüllen. Unter diesen wird das Kerberos-Vertrauensstellungsmodell für hybride Clouds empfohlen und gilt als das einfachste für Organisationen, die in Hybridumgebungen arbeiten.

Weitere Informationen

PIN zurücksetzen

Mit dem Microsoft PIN Reset Service können Benutzer ihre vergessenen Windows Hello PINs zurücksetzen, ohne dass eine erneute Registrierung erforderlich ist. Nach der Registrierung des Diensts im Microsoft Entra ID Mandanten muss die Funktion auf den Windows-Geräten mithilfe einer Gruppenrichtlinie oder einer Geräteverwaltungslösung wie Microsoft Intune[4] aktiviert werden.

Benutzer können eine PIN-Zurücksetzung über den Windows-Sperrbildschirm oder über die Anmeldeoptionen in den Einstellungen initiieren. Der Prozess umfasst die Authentifizierung und den Abschluss der mehrstufigen Authentifizierung, um die PIN zurückzusetzen.

Weitere Informationen

Mehrstufige Entsperrung

Für Organisationen, die eine zusätzliche Ebene der Anmeldesicherheit benötigen, ermöglicht die mehrstufige Entsperrung IT-Administratoren, Windows so zu konfigurieren, dass eine Kombination aus zwei eindeutigen vertrauenswürdigen Signalen für die Anmeldung erforderlich ist. Beispiele für vertrauenswürdige Signale sind eine PIN oder biometrische Daten (Gesicht oder Fingerabdruck), die mit einer PIN, Bluetooth, IP-Konfiguration oder WLAN kombiniert werden.

Die mehrstufige Entsperrung ist nützlich für Organisationen, die verhindern müssen, dass Information Worker Anmeldeinformationen freigeben oder gesetzliche Anforderungen für eine Richtlinie für die zweistufige Authentifizierung erfüllen müssen.

Weitere Informationen

Kennwortlose Windows-Umgebung

Windows Hello for Business jetzt eine vollständig kennwortlose Benutzeroberfläche unterstützen.

IT-Administratoren können eine Richtlinie auf Microsoft Entra ID verbundenen Computern konfigurieren, sodass Benutzern beim Zugriff auf Unternehmensressourcen die Option zur Kennworteingabe nicht mehr angezeigt wird. Nachdem die Richtlinie konfiguriert wurde, werden Kennwörter aus der Windows-Benutzeroberfläche entfernt, sowohl für Szenarien zum Entsperren von Geräten als auch für Authentifizierungsszenarien in Sitzungssitzungen. Kennwörter wurden jedoch noch nicht aus dem Identitätsverzeichnis entfernt. Von Benutzern wird erwartet, dass sie mit starken, phish-resistenten, besitzbasierten Anmeldeinformationen wie Windows Hello for Business und FIDO2-Sicherheitsschlüsseln durch ihre Kernauthentifizierungsszenarien navigieren. Bei Bedarf können Benutzer kennwortlose Wiederherstellungsmechanismen verwenden, z. B. den Microsoft-PIN-Zurücksetzungsdienst oder die Webanmeldung.

Benutzer authentifizieren sich direkt bei Microsoft Entra ID, wodurch der Zugriff auf lokale Anwendungen und andere Ressourcen beschleunigt wird.

Weitere Informationen

Erweiterte Anmeldesicherheit (ESS)

Windows Hello unterstützt die erweiterte Anmeldesicherheit, bei der spezielle Hardware- und Softwarekomponenten verwendet werden, um die Sicherheitsstufe für biometrische Anmeldungen noch höher zu erhöhen.

Die Biometrie der erweiterten Anmeldesicherheit verwendet virtualisierungsbasierte Sicherheit (VBS) und das TPM, um Benutzerauthentifizierungsprozesse und -daten zu isolieren und den Weg zu schützen, über den die Informationen übermittelt werden.

Diese spezialisierten Komponenten schützen vor einer Klasse von Angriffen, die biometrische Stichprobeneinschleusung, Wiedergabe und Manipulation umfassen. Beispielsweise müssen Fingerabdruckleser das Secure Device Connection Protocol implementieren, das schlüsselverhandelt und ein von Microsoft ausgestelltes Zertifikat verwendet, um Benutzerauthentifizierungsdaten zu schützen und sicher zu speichern. Bei der Gesichtserkennung können Komponenten wie die Tabelle "Secure Devices(SDEV)" und die Prozessisolation mit Trustlets dazu beitragen, weitere Angriffsklassen zu verhindern.

Die erweiterte Anmeldesicherheit wird von Geräteherstellern während des Herstellungsprozesses konfiguriert und in der Regel auf PCs mit geschützten Kernen unterstützt. Für die Gesichtserkennung wird die erweiterte Anmeldesicherheit von bestimmten Silizium- und Kamerakombinationen unterstützt. Wenden Sie sich an den jeweiligen Gerätehersteller. Die Fingerabdruckauthentifizierung ist für alle Prozessortypen verfügbar. Wenden Sie sich an bestimmte OEMs, um Supportdetails zu erhalten.

Weitere Informationen

FIDO2

Die FIDO Alliance, das Branchenstandardsgremium für Fast Identity Online, wurde gegründet, um Authentifizierungstechnologien und -standards zu fördern, die die Abhängigkeit von Kennwörtern verringern. FIDO Alliance und World Wide Web Consortium (W3C) haben gemeinsam die CTAP2-Spezifikationen (Client to Authenticator Protocol) und WebAuthn (WebAuthn) definiert. Diese Spezifikationen sind der Branchenstandard für die Bereitstellung einer starken, Phishing-resistenten, benutzerfreundlichen und datenschutzerhaltenden Authentifizierung im Web und in Apps. FIDO-Standards und -Zertifizierungen werden als führender Standard für die Erstellung sicherer Authentifizierungslösungen für Unternehmen, Behörden und Verbrauchermärkte anerkannt.

Windows 11 können auch externe FIDO2-Sicherheitsschlüssel für die Authentifizierung neben oder neben Windows Hello und Windows Hello for Business verwenden, die ebenfalls eine FIDO2-zertifizierte kennwortlose Lösung ist. Daher können Windows 11 als FIDO-Authentifikator für viele beliebte Identitätsverwaltungsdienste verwendet werden.

Hauptschlüssel

Windows 11 macht es für Hacker, die gestohlene Kennwörter über Phishingangriffe ausnutzen, viel schwieriger, indem sie es Benutzern ermöglichen, Kennwörter durch Passkeys zu ersetzen. Kennungen sind die plattformübergreifende Zukunft der sicheren Anmeldung. Microsoft und andere Technologieführer unterstützen Passkeys auf ihren Plattformen und Diensten.

Ein Kennungsschlüssel ist ein eindeutiges, nicht ungenutzbares kryptografisches Geheimnis, das sicher auf dem Gerät gespeichert ist. Anstatt einen Benutzernamen und ein Kennwort für die Anmeldung bei einer Website oder Anwendung zu verwenden, können Windows 11 Benutzer einen Schlüssel mit Windows Hello, einem Drittanbieter-Schlüsselschlüssel, einem externen FIDO2-Sicherheitsschlüssel oder ihrem mobilen Gerät erstellen und verwenden. Passkeys unter Windows funktionieren in allen Browsern oder Apps, die sie für die Anmeldung unterstützen.

Mit Windows Hello erstellte und gespeicherte Kennungsschlüssel werden durch Windows Hello oder Windows Hello for Business geschützt. Benutzer können sich bei der Website oder App mit ihrem Gesichts-, Fingerabdruck- oder Geräte-PIN anmelden. Benutzer können ihre Hauptschlüssel über Einstellungen>Konten>Passschlüssel verwalten.

In Kürze verfügbar[7]

Das Plug-In-Modell für Kennungsanbieter von Drittanbietern ermöglicht Es Benutzern, ihre Schlüssel mit Kennungs-Managern von Drittanbietern zu verwalten. Dieses Modell sorgt für eine nahtlose Plattformerfahrung, unabhängig davon, ob Kennungen direkt von Windows oder einem Authentifikator eines Drittanbieters verwaltet werden. Wenn ein Kennungsanbieter eines Drittanbieters verwendet wird, werden die Kennungen sicher geschützt und vom Drittanbieter verwaltet.

Screenshot des Dialogfelds

Weitere Informationen

Microsoft Authenticator

Die Microsoft Authenticator-App, die auf iOS- und Android-Geräten ausgeführt wird, trägt dazu bei, dass Windows 11 Benutzer sicher und produktiv sind. Microsoft Authenticator mit Microsoft Entra Passkeys kann als phish-resistente Methode zum Bootstrap Windows Hello for Business verwendet werden.

Microsoft Authenticator ermöglicht außerdem eine einfache und sichere Anmeldung für alle Onlinekonten mithilfe der mehrstufigen Authentifizierung, der kennwortlosen Anmeldung per Telefon, der phishingsicheren Authentifizierung (Passkeys) oder dem automatischen Ausfüllen von Kennwörtern. Die Konten in der Authenticator-App sind mit einem Öffentlichen/Privaten Schlüsselpaar in hardwaregestütztem Speicher wie dem Schlüsselbund in iOS und Keystore unter Android geschützt. IT-Administratoren können verschiedene Tools verwenden, um ihre Benutzer dazu zu bringen, die Authenticator-App einzurichten, ihnen zusätzlichen Kontext darüber bereitzustellen, woher die Authentifizierung stammt, und sicherstellen, dass sie sie aktiv verwenden.

Einzelne Benutzer können ihre Anmeldeinformationen in der Cloud sichern, indem sie die Option für die verschlüsselte Sicherung in den Einstellungen aktivieren. Sie können auch ihren Anmeldeverlauf und die Sicherheitseinstellungen für persönliche Microsoft-, Geschäfts- oder Schulkonten anzeigen.

Mithilfe dieser sicheren App für die Authentifizierung und Autorisierung können Benutzer steuern, wie, wo und wann ihre Anmeldeinformationen verwendet werden. Um mit einer sich ständig verändernden Sicherheitslandschaft Schritt zu halten, wird die App ständig aktualisiert, und es werden neue Funktionen hinzugefügt, um neuen Bedrohungsvektoren einen Schritt voraus zu sein.

Weitere Informationen

Webanmeldung

Mit der Unterstützung der Webanmeldung können sich Benutzer ohne Kennwort mit der Microsoft Authenticator-App oder einem temporären Zugriffspass (Temporary Access Pass, TAP) anmelden. Die Webanmeldung ermöglicht auch die Verbundanmeldung mit einem SAML-P-Identitätsanbieter.

Weitere Informationen

Verbundanmeldung

Windows 11 unterstützt Verbundanmeldungen mit externen Identitätsverwaltungsdiensten für Bildungseinrichtungen. Für Kursteilnehmer, die keine komplexen Kennwörter eingeben oder sich daran erinnern können, ermöglicht diese Funktion eine sichere Anmeldung über Methoden wie QR-Codes oder Bilder.

Weitere Informationen

Smartcards

Organisationen können sich auch für Smartcards entscheiden, eine Authentifizierungsmethode, die vor der biometrischen Authentifizierung vorhanden war. Diese manipulationssicheren, tragbaren Speichergeräte erhöhen die Windows-Sicherheit, indem Sie Benutzer authentifizieren, Code signieren, E-Mails schützen und sich mit Windows-Domänenkonten anmelden.

Smartcards bieten:

  • Benutzerfreundlichkeit in Szenarien wie dem Gesundheitswesen, in denen sich Benutzer schnell an- und abmelden müssen, ohne ihre Hände zu verwenden, oder wenn sie eine Arbeitsstation freigeben
  • Isolation sicherheitskritischer Berechnungen, die Authentifizierung, digitale Signaturen und Schlüsselaustausch von anderen Teilen des Computers umfassen. Diese Berechnungen werden auf der intelligenten Karte
  • Portabilität von Anmeldeinformationen und anderen privaten Informationen zwischen Computern am Arbeitsplatz, zu Hause oder unterwegs

Smartcards können nur verwendet werden, um sich bei Domänenkonten oder Microsoft Entra ID-Konten anzumelden.

Wenn ein Kennwort für die Anmeldung bei einem Domänenkonto verwendet wird, verwendet Windows das Kerberos-Protokoll Version 5 (V5) für die Authentifizierung. Wenn Sie eine intelligente Karte verwenden, verwendet das Betriebssystem die Kerberos V5-Authentifizierung mit X.509 V3-Zertifikaten. Auf Microsoft Entra ID verbundenen Geräten kann eine intelligente Karte mit Microsoft Entra ID zertifikatbasierter Authentifizierung verwendet werden. Smartcards können nicht mit lokalen Konten verwendet werden.

Windows Hello for Business und FIDO2-Sicherheitsschlüssel sind moderne zweistufige Authentifizierungsmethoden für Windows. Kunden, die virtuelle Smartcards verwenden, werden empfohlen, zu Windows Hello for Business oder FIDO2 zu wechseln. Für neue Windows-Installationen empfehlen wir Windows Hello for Business oder FIDO2-Sicherheitsschlüssel.

Weitere Informationen

Verbesserter Phishingschutz in Microsoft Defender SmartScreen

Mit der Entwicklung des Malware-Schutzes und anderer Sicherheitsvorkehrungen suchen Cyberkriminelle nach neuen Wegen, um Sicherheitsmaßnahmen zu umgehen. Phishing ist eine führende Bedrohung, mit Apps und Websites, die darauf ausgelegt sind, Anmeldeinformationen zu stehlen, indem Sie Personen dazu verleiten, freiwillig Kennwörter einzugeben. Daher wechseln viele Organisationen auf die Einfache und Sicherheit der kennwortlosen Anmeldung mit Windows Hello oder Windows Hello for Business um.

Wir wissen, dass sich Menschen in verschiedenen Teilen ihrer kennwortlosen Reise befinden. Um Personen, die noch Kennwörter verwenden, auf diesem Weg zu helfen, bietet Windows 11 leistungsstarken Schutz vor Anmeldeinformationen. Microsoft Defender SmartScreen bietet jetzt einen erweiterten Phishing-Schutz, um automatisch zu erkennen, wann das Microsoft-Kennwort eines Benutzers in eine App oder Website eingegeben wird. Windows erkennt dann, ob sich die App oder Website sicher bei Microsoft authentifiziert, und warnt, wenn die Anmeldeinformationen gefährdet sind. Da der Benutzer zum Zeitpunkt eines potenziellen Diebstahls von Anmeldeinformationen benachrichtigt wird, kann er präventive Maßnahmen ergreifen, bevor das Kennwort für den Benutzer oder seine organization verwendet wird.

Weitere Informationen