Beschreiben von Authentifizierungsmethoden

  • 10 Minuten

Eine der Hauptfunktionen einer Identitätsplattform ist die Verifizierung bzw. Authentifizierung von Anmeldeinformationen, wenn ein Benutzer sich an einem Gerät, einer Anwendung oder einem Dienst anmeldet. Microsoft Entra ID bietet verschiedene Methoden der Authentifizierung.

Kennwörter

Kennwörter sind die gebräuchlichste Form der Authentifizierung, aber sie bringen viele Probleme mit sich, insbesondere bei der Ein-Faktor-Authentifizierung, bei der nur eine Form von Authentifizierung verwendet wird. Wenn sie sich leicht merken lassen, sind sie für einen Hacker leicht zu kompromittieren. Starke Kennwörter, die nicht leicht zu hacken sind, sind schwer zu merken und beeinträchtigen die Produktivität der Benutzer, wenn sie vergessen werden.

Die Verwendung von Kennwörtern sollte durch sicherere Authentifizierungsmethoden ergänzt oder ersetzt werden, die in Microsoft Entra ID verfügbar sind.

Diagram showing how passwords should be supplemented or replaced. The best approach is Passwordless.

Telefonnummer

Microsoft Entra ID unterstützt zwei Optionen für die telefonbasierte Authentifizierung.

  • SMS-basierte Authentifizierung. Der Kurznachrichtendienst (SMS), der für Textnachrichten auf mobilen Geräten verwendet wird, kann als primäre Form der Authentifizierung genutzt werden. Bei der SMS-basierten Anmeldung brauchen sich Benutzer keine Benutzernamen und Kennwörter zu merken, um auf Anwendungen und Dienste zuzugreifen. Der Benutzer gibt stattdessen seine registrierte Mobiltelefonnummer ein, empfängt eine Textnachricht mit einem Prüfcode und gibt diesen Code im Anmeldebildschirm ein.

    Benutzer*innen können ihre Identität auch über SMS-Nachrichten auf einem Mobiltelefon als sekundäre Form der Authentifizierung bei der Self-Service-Kennwortzurücksetzung (SSPR) oder Multi-Faktor-Authentifizierung mit Microsoft Entra verifizieren. Benutzer können beispielsweise ihr Kennwort mithilfe von SMS-Textnachrichten ergänzen. Eine SMS mit einem Prüfcode wird an die Mobiltelefonnummer gesendet. Zum Abschließen des Anmeldevorgangs muss der bereitgestellte Prüfcode im Anmeldebildschirm eingegeben werden.

  • Überprüfung mit Sprachanruf. Benutzer*innen können Sprachanrufe als sekundäre Authentifizierungsform verwenden, um ihre Identität während der Self-Service-Kennwortrücksetzung (SSPR) oder der Multi-Faktor-Authentifizierung mit Microsoft Entra zu überprüfen. Bei der Überprüfung mit Telefonanruf erfolgt ein automatischer Sprachanruf an die vom Benutzer registrierte Telefonnummer. Zum Abschließen des Anmeldevorgangs wird der Benutzer aufgefordert, die Taste „#“ auf der Tastatur zu drücken. Sprachanrufe werden in Microsoft Entra ID nicht als primäre Authentifizierungsform unterstützt.

OATH

OATH ist ein offener Standard, der angibt, wie zeitbasierte Codes für Einmalkennwörter (TOTP) generiert werden. Codes für Einmalkennwörter können verwendet werden, um einen Benutzer zu authentifizieren. OATH TOTP wird entweder mit Hardware oder Software zum Generieren der Codes implementiert.

  • OATH-Softwaretoken sind in der Regel Anwendungen. Microsoft Entra ID generiert den geheimen Schlüssel (Ausgangswert), der in der App eingegeben und zum Generieren des jeweiligen Einmalkennworts (OTP) verwendet wird.

  • OATH TOTP-Hardwaretoken (unterstützt in der öffentlichen Vorschau) sind kleine Hardwaregeräte, die wie ein Key Fob aussehen, der einen Code anzeigt, der alle 30 oder 60 Sekunden aktualisiert wird. OATH-TOTP-Hardwaretoken sind in der Regel mit einem geheimen, im Token vorprogrammierten Schlüssel (Ausgangswert) versehen. Diese Schlüssel und andere Informationen, die für jedes Token spezifisch sind, müssen in Microsoft Entra ID eingegeben und dann für die Verwendung durch Endbenutzer aktiviert werden.

OATH-Software- und Hardwaretoken werden nur als sekundäre Authentifizierungsformen in Microsoft Entra ID unterstützt, um eine Identität während der Self-Service-Kennwortzurücksetzung oder Multi-Faktor-Authentifizierung mit Microsoft Entra zu überprüfen.

Kennwortlose Authentifizierung

Das erklärte Ziel für viele Organisationen besteht darin, die Nutzung von Kennwörtern für Anmeldungen abzuschaffen. Wenn sich ein Benutzer mit einem kennwortlosen Verfahren anmeldet, werden Anmeldeinformationen z. B. über eine Biometrielösung mit Windows Hello for Business oder einen FIDO2-Sicherheitsschlüssel bereitgestellt. Diese Authentifizierungsmethoden können von Angreifern nicht ohne Weiteres dupliziert werden.

Microsoft Entra ID bietet Verfahren für die native Authentifizierung mit kennwortlosen Methoden, um die Anmeldung für Benutzer zu vereinfachen und das Angriffsrisiko zu verringern.

Im folgenden Video wird das Problem mit Kennwörtern erläutert, und es wird beschrieben, warum kennwortlose Authentifizierung so wichtig ist.

Windows Hello for Business

Windows Hello for Business- ersetzt Kennwörter auf Geräten durch starke zweistufige Authentifizierung. Diese zweistufige Authentifizierung verwendet eine Kombination aus einem Schlüssel oder Zertifikat, der bzw. das an ein Gerät gebunden ist, und einer der Person bekannten Angabe (PIN) oder einem personenspezifischen Merkmal (Biometrie). Sowohl die PIN-Eingabe als auch das biometrische Merkmal veranlassen die Verwendung des privaten Schlüssel zum kryptografischen Signieren von Daten, die an den Identitätsanbieter gesendet werden. Der Identitätsanbieter überprüft die Identität des Benutzers und authentifiziert ihn.

Windows Hello for Business trägt zum Schutz gegen den Diebstahl von Anmeldeinformationen bei, da ein Angreifer sowohl über das Gerät als auch über die biometrischen Daten oder die PIN verfügen muss, wodurch es schwieriger wird, sich ohne das Wissen des betreffenden Mitarbeiters Zugang zu verschaffen.

Als kennwortlose Authentifizierungsmethode dient Windows Hello for Business als primäre Form der Authentifizierung. Darüber hinaus kann Windows Hello for Business als sekundäre Form der Authentifizierung verwendet werden, um eine Identität während der Multi-Faktor-Authentifizierung zu verifizieren.

FIDO2

Fast Identity Online (FIDO) ist ein offener Standard für die kennwortlose Authentifizierung. FIDO ermöglicht es Benutzern und Organisationen, den Standard zu nutzen, um sich mit einem externen Sicherheitsschlüssel oder einem in ein Gerät integrierten Plattformschlüssel bei ihren Ressourcen anzumelden, wodurch die Notwendigkeit eines Benutzernamens und Kennworts entfällt.

FIDO2 ist der neueste Standard, der den Webauthentifizierungsstandard (WebAuthn) beinhaltet und von Microsoft Entra ID unterstützt wird. FIDO2-Sicherheitsschlüssel sind eine Phishing-resistente, standardbasierte Methode zur kennwortlosen Authentifizierung, die in jedem Formfaktor verfügbar sein kann. Bei diesen FIDO2-Sicherheitsschlüsseln handelt es sich in der Regel um USB-Geräte, aber auch um Bluetooth- oder NFC-Geräte (Near Field Communication), die für drahtlose Datenübertragung im Nahbereich eingesetzt werden. Mit einem Hardwaregerät, das für die Authentifizierung sorgt, erhöht sich die Sicherheit eines Kontos, da es kein Kennwort gibt, das verfügbar gemacht oder erraten werden kann.

Mit FIDO2-Sicherheitsschlüsseln können sich Benutzer*innen bei Microsoft Entra ID oder hybriden Microsoft Entra- und Windows 10-Geräten anmelden und einmaliges Anmelden für den Zugriff auf cloudbasierte und lokale Ressourcen nutzen. Benutzer können sich auch bei unterstützten Browsern anmelden. FIDO2-Sicherheitsschlüssel sind eine gute Option für Unternehmen, die sehr sicherheitsbewusst sind oder deren Mitarbeiter nicht bereit oder in der Lage sind, ihr Telefon als zweiten Faktor zu nutzen, oder aber bei denen andere entsprechende Szenarien vorliegen.

Als kennwortlose Authentifizierungsmethode dient FIDO2 als primäre Authentifizierungsform. Darüber hinaus kann FIDO2 als sekundäre Form der Authentifizierung verwendet werden, um eine Identität während der Multi-Faktor-Authentifizierung zu verifizieren.

Microsoft Authenticator-App

Als kennwortlose Authentifizierungsmethode kann die Microsoft Authenticator-App als primäre Form der Authentifizierung verwendet werden, um sich bei einem beliebigen Microsoft Entra-Konto anzumelden, oder als zusätzliche Verifizierungsoption bei der Self-Service-Kennwortzurücksetzung (SSPR) oder bei Multi-Faktor-Authentifizierungsereignissen mit Microsoft Entra.

Um Microsoft Authenticator verwenden zu können, muss ein Benutzer die Telefon-App aus dem Microsoft Store herunterladen und sein Konto registrieren. Die Microsoft Authenticator-App ist für Android und iOS verfügbar.

Die Authenticator-App wandelt bei kennwortloser Authentifizierung jedes iOS- oder Android-Smartphone in sichere kennwortlose Anmeldeinformationen um. Um sich bei ihren Microsoft Entra-Konten anzumelden, geben Benutzer*innen ihre Benutzernamen ein, gleichen eine auf dem Bildschirm angezeigte Ziffernfolge mit der Angabe auf ihren Smartphones ab und bestätigen den Vorgang dann mit ihren biometrischen Merkmalen oder ihrer PIN.

Screen capture of Microsoft authenticator sign-in request

Wenn ein Nutzer Authenticator als sekundäre Form der Authentifizierung wählt, um seine Identität zu verifizieren, wird eine Pushbenachrichtigung an das Smartphone oder Tablet gesendet. Wenn die Benachrichtigung legitim ist, wählt der Benutzer Genehmigen (oder andernfalls Verweigern) aus.

Screen capture of Microsoft authenticator app approval request.

Die Authenticator-App kann auch als Softwaretoken zum Generieren eines OATH-Prüfcodes verwendet werden. Nachdem Sie Benutzernamen und Kennwort eingegeben haben, geben Sie im Anmeldebildschirm den in der Authenticator-App generierten Code ein. Der OATH-Prüfcode bietet eine zweite Authentifizierungsmethode für SSPR oder MFA.

Zertifikatbasierte Authentifizierung

Mit der zertifikatbasierten Authentifizierung mit Microsoft Entra (Certificate-Based Authentication, CBA) können Kund*innen zulassen oder verlangen, dass sich Benutzer direkt mit X.509-Zertifikaten für Ihre Microsoft Entra-Identität für Anwendungen und Browseranmeldungen authentifizieren. CBA wird nur als primäre Form der kennwortlosen Authentifizierung unterstützt.

X.509-Zertifikate, die Teil der Public Key-Infrastruktur (PKI) sind, sind digital signierte Dokumente, die eine Identität (Person, Organisation, Website) an ihren öffentlichen Schlüssel binden. Weitere Informationen finden Sie unter Beschreiben von Konzepten von Kryptografie.

Primäre und sekundäre Authentifizierung

Einige Authentifizierungsmethoden können als primärer Faktor verwendet werden, wen Sie sich bei einer Anwendung oder einem Gerät anmelden. Andere Authentifizierungsmethoden sind nur als sekundärer Faktor verfügbar, wenn Sie die Multi-Faktor-Authentifizierung oder SSPR mit Microsoft Entra verwenden. Auf diese Informationen wird in dem Text eingegangen, der die einzelnen Authentifizierungsmethoden beschreibt. In der folgenden Tabelle ist zusammengefasst, wann eine Authentifizierungsmethode während eines Anmeldeereignisses verwendet werden kann.

Screen capture of a table that summarizes if authentication method is used for primary and/or secondary authentications.