DAS ENDE DES KENNWORTES - Microsoft Passwordless signin - abtis
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
DAS ENDE DES KENNWORTES Microsoft Passwordless signin
WHOAMI /USER
Daniel Fuderer
PRODUCT & SERVICE OWNER MANAGED SERVICES
PRINCIPAL SOLUTION ARCHITECT
abtis GmbH
+49 7231 4431 269
d.fuderer@abtis.de
d.fuderer@abtis.de
IT seit 1987
Microsoft Certified Trainer seit 2000
abtis seit 2003
technische Schwerpunkte:
▪ Security
▪ Modern Secure Workplace
▪ Datacenter
AGENDA • 5!CH3RH3!T5LU3CK3 P455W0RT • N€U€ M0€%L!CHK€!T€N • U€8€r$!CHT D€R F@KT0R€N
5!CH3RH3!T5LU3CK3 P455W0RT
w45 5!nd d!3 Gru3nd3?
Verizon 2019 Data Breach Investigations Report
SICHERHEITSRISIKO PASSWÖRTER der Mensch ist nicht auf dieser Welt um sich Passwörter zu merken… 1. zu kurz, zu einfach, zu offensichtlich, zu persönlich 2. Passwörter sind reines Wissen 3. In vielen Bereichen das identische Passwort 4. Phishing, Malware und Social Engineering 5. Kein Einsatz von Passwortmanager 6. Häufiger Wechsel führt zum PostIt oder zu Zahlen 7. Zwischengespeicherte / offengelegte Passwörter oder Passwort-Hashwerte 8. höhere Rechenleistungen verringern die Sicherheit der Kennwörter 9. kein Mangel an Ideen… aber ein Mangel an außergewöhnlichen Ideen (1=!, a=@/4, b=8, e=3/€, s=5,...) 10. Menschen denken wie Menschen denken….
MENSCHEN DENKEN WIE MENSCHEN DENKEN
ganz egal wo…
ji32k7au4a83 Katzenklo75
Mögliche Kombinationen (36 mögliche Zeichen): Mögliche Kombinationen (62 mögliche Zeichen):
4.87 x 1018 5.29 x 1019
Brute-Force-Dauer: 42.88* Jahre Brute-Force-Dauer:
985.29* Jahre
Mandarin: „Mein Passwort“
* bei 1.000.000.000 / sekN€U€ M0€%L!CHK€!T€N 8€5!tz 5t@tt W!55€n
PASSWORDLESS-AUTHENTICATION grundsätzliche Funktion… ▪ Passwortlose Authentifizierung ersetzt das Kennwort durch sichere Alternativen ▪ Passwordless-Authentication erfordert zwei oder mehr Verifizierungsfaktoren ▪ die Anmeldung erfolgt mittels kryptografischen Schlüsselpaar das bei der Registrierung generiert wird ▪ der private Schlüssel wird mit einer gerätespezifischen PIN oder biometrisch gesichert gespeichert
FUNKTIONSWEISE
der starken Authentifizierung
▪ Anmeldeinformationen basierend auf einem asymmetrischen Schlüsselpaar oder einem Zertifikat
▪ Anmeldeinformationen und Token sind an das Gerät gebunden (Windows, FIDO-Token oder mobiles Gerät)
▪ Authentifikator generiert das Schlüsselpaar und gibt den öffentlichen Schlüssel an den Identitätsanbieter
raus (System, Service, AD)
▪ private Schlüssel sind an das einzelne Gerät gebunden, werden niemals durchsucht, gesendet oder
ausgegeben
▪ zusätzlich zum Gerät wird für den Zugriff eine PIN oder Biometrie zum Zugriff auf den Key angefordert
▪ Identitätsanbieter prüft die Identität und authentifiziert den BenutzerMÖGLICHE TECHNOLOGIEN
am Beispiel von Windows 10
▪ Windows Hello
▪ Anmeldung an Unternehmensressourcen mittels biometrische Sensoren oder PIN um die Identität zu bestätigen
▪ Microsoft Authenticator
▪ Softwaretoken für mobile Geräte. Verwendet biometrische Sensoren oder eine PIN um die Identität zu bestätigen
▪ FIDO2 Token
▪ Token zur Anmeldung an der lokalen Maschine oder an CloudservicesWINDOWS HELLO
Authentifizierung an Unternehmensgeräten und -anwendungen
▪ bei der Ersteinrichtung von Windows Hello wird ein kryptografisches Schlüsselpaar generiert
▪ private Key wird an den lokalen TPM-Chip gebunden
▪ Zugriff auf das Schlüsselpaar im TPM-Chip durch
▪ Gesichtserkennung
▪ Fingerabdruck
▪ Irisscanner
▪ PIN
▪ Nach erfolgreicher Überprüfung und Zugriff auf das Schlüsselpaar wird daraus ein Authentication-Token
erzeugtMICROSOFT AUTHENTICATOR
Überprüfung und Authentifizierung der Arbeits- oder der persönlichen Identität mit
mobilem Gerät
▪ bei der Ersteinrichtung wird ein kryptografisches Schlüsselpaar generiert
▪ ermöglicht einmaligen Passwordcode oder Pushbenachrichtigung
▪ Passwortlose Authentifizierung mittels eingeblendetem Zahlencode
▪ bietet Multifaktorauthentifizierung durch Bestätigung der Anmeldeanforderung
▪ Entsperrung des privaten Schlüssels durch
▪ Gesichtserkennung
▪ Fingerabdruck
▪ Irisscanner
▪ PINFIDO2 TOKEN
offener Standard
▪ bei der Registrierung am Dienst wird ein kryptografisches Schlüsselpaar generiert
▪ bietet Multifaktor-Authentifizierung sowie auch passwortlose Anmeldung
▪ private Key wird auf dem Device gespeichert und geschützt
▪ nutzt Zweitfaktoren wie
▪ Biometrie
▪ Hardware-Token
▪ Smart-Cards
▪ NFC
▪ TPM-Modul
▪ zwischen den Partnern kann ein Webbrowser mit WebAuthn-Client als Vermittler agierenWICHTIG
ist ein PIN nicht das selbe wie ein Passwort oder gar unsicherer
▪ typische 4 Zeichen PIN muss neu gedacht werden
▪ mögliche PINs
▪ Zahlen
▪ Komplex ist möglich
▪ PIN ist immer an eine (1) Hardware gebunden
▪ ohne die Hardware ist die PIN nutzlos und eine Anmeldung kann nicht erfolgenU€8€R$!CHT D€R F@KT0R€N
ÜBERSICHT DER ANWENDUNGSSZENARIEN
Einsatzgebiete
Microsoft Hello for Microsoft Fast Identity Online
Business Authenticator App (FIDO) 2 Devices
Voraussetzung Windows 10 (1511 oder höher) MS Authenticator App Windows 10 (1809 oder höher)
Azure Active Directory iOS oder Android (6.0 oder Azure Active Directory
höher)
Modus Plattform Software Hardware
System & Geräte PC mit TPM PIN und Biometrie FIDO2 Sicherheits-Gerät mit
PIN und Biometrie (Geräteunterstützung MS-Kompatibilität
(Geräteunterstützung notwendig) notwendig)
Benutzererfahrung Authentifizierung mit PIN oder Authentifizierung mit PIN oder Authentifizierung mit dem FIDO-
Biometrie Biometrie am mobilen gerät Gerät
Für Authentifizierung wird Nutzung für geschäftliche oder PIN, Biometrie, NFC-Smartcard,
PIN/Biometrie und das Gerät private Kontenauthentifizierung Für Authentifizierung wird
benötigt PIN/Biometrie und das Gerät
benötigt
Unterstützte Passwortlose Authentifizierung mit Passwortlose Authentifizierung Passwortlose Authentifizierung
Windows Gerät mit der Möglichkeit mit dem mobilen Gerät mit biometrie,PIN, NFC
Szenarien SSO zu nutzen Zugriff auf geschäftliche und Nutzbar auf verschiedenen
private Anwendungen im Web Geräten
auf jedem GerätWRAP UP Kurz und bündig ▪ Passwortlose Authentifizierung erfüllt moderne Sicherheitsanforderungen ▪ MFA ist das absolute Mindestmaß an Passwortsicherheit und sollte das Standardverfahren sein ▪ Gemeinsam mit Azure Active Directory, Conditional Access, Azure Information Protection und Privilege Identity Management steht eine solide, zukunftssichere Basis zur Verfügung ▪ M365 & EMS stellen die Schlüsselkomponenten bereit ▪ abtis unterstützt mit Assessments, Managed Services, Workshops, etc. bei der Planung, Umsetzung sowie im Betrieb
Q&A Bei Fragen - fragen
Sie können auch lesen
