Authentifizierungsmethoden des YubiKey unter Windows

Wer kennt es nicht, sicheres Anmelden kann manchmal ein zähes Thema sein. Beim Öffnen des Passwortmanagers, um das eigentliche Passwort zu kopieren und einzufügen sowie danach den zweiten Faktor einzugeben, vergeht gefühlt eine halbe Ewigkeit. Hier möchte der YubiKey von Yubico Abhilfe schaffen.

Der YubiKey unterstützt verschiedenste Authentifizierungsmethoden wie z.B. Windows-Anmeldungen und OAUTH, welches unter anderem vom Google Authenticator genutzt wird, oder das von unserem Kollegen beschriebene FIDO2.

In diesem Blogbeitrag gehe ich nur auf die Windows-Funktionen des YubiKey ein, welche aber nur einen kleinen Teil der eigentlichen Funktionen ausmachen.

YubiKey und Windows Hello

Windows Hello ist, im Gegensatz zur früher benutzten msgina.dll (oder aktuell Credential Providers), nicht für Windows-Systemstartkomponenten verantwortlich, sondern für sichere Anmeldemethoden im Allgemeinen. Beispiele hierfür sind Anmeldungen mittels Biometrie oder das Benutzen von FIDO2-Anmeldungen im Microsoft Edge-Browser. Yubico nutzt diese Schnittstelle:

Mit der YubiKey 4 Series und der Windows Hello App ist es möglich jedes Windows 10-Benutzerkonto auf Knopfdruck, sicher und ohne Passwort, zu entsperren. YubiKeys können über diese Methode ausschließlich zum Entsperren genutzt werden. Die Voraussetzung dafür ist, dass man sich mindestens einmal seit dem letzten Start des Windows 10-Gerätes, mit Nutzername und Passwort eingeloggt hat. Das Einloggen mit Benutzername und Passwort kann durch den YubiKey nicht ersetzt werden.

Um den YubiKey für diese Funktion zu nutzen, muss zuerst die „YubiKey for Windows Hello“ aus dem Microsoft Store bezogen werden. Mit dieser können bis zu fünf YubiKeys für ein Benutzerkonto registriert werden. Nach dem Registrieren des YubiKeys, ist dieser direkt einsatzbereit.

Da Windows diese Funktion von Windows Hello ab 1. November 2019 nicht mehr unterstützt, wird vermutlich ab diesem Tag die „YubiKey for Windows Hello“ ebenso nicht mehr verfügbar sein. Außerdem hat Yubico angekündigt, dass aus dem gleichen Grund diese Funktion nicht für die YubiKey 5 Series verfügbar sein wird.

YubiKey und Windows Anmeldungen

Einen Trost bietet die von Yubico verwiesene Alternative „Windows Logon Tool“ nicht. Diese richtet einen YubiKey als zweiten Faktor bei einer Windows-Anmeldung ein. An sich ist das ein großer Sicherheitsgewinn. Dies funktioniert aber nur bei lokalen Benutzerkonten. Cloud- oder Domänenkonten werden nicht unterstützt. Abgesehen davon ist diese Funktion ebenso abgekündigt.

Die letzte und auch noch unterstützte Alternative ist die Smartcard-Funktion des YubiKeys. Damit kann sich ohne Eingeben des Benutzerpasswortes mit einem Benutzer angemeldet werden. Smartcards werden nur für Benutzer in einer Windows-Domäne unterstützt.

Das Konstrukt basiert auf dem Besitz der Smartcard (bzw. in diesem Fall des YubiKeys), dem darauf befindlichen Zertifikat, welches der Windows-Domäne bekannt ist und einem Passcode, welcher ausschließlich dem Benutzer bekannt ist.

Smartcards

Der YubiKey besitzt die Funktionalität einer gewöhnlichen PIV Smartcard. Nebenbei bietet er, wie oben schon beschrieben, weitere Authentifizierungsmethoden. Im Vergleich zu gewöhnlichen Smartcards bietet der YubiKey die Möglichkeit, die anderen eingangs erwähnten Authentifizierungsmethoden (OAUTH und FIDO2) zu benutzen und ist dadurch nicht auf eine Einzelne beschränkt.

Quellen

https://www.yubico.com/why-yubico/how-yubikey-works/

https://www.yubico.com/2016/09/yubikey-works-windows-hello/

https://docs.microsoft.com/de-de/sccm/core/plan-design/changes/deprecated/removed-and-deprecated-cmfeatures

https://support.yubico.com/support/solutions/articles/15000006472

https://www.yubico.com/why-yubico/for-business/computer-login/windows-login/

https://support.yubico.com/support/solutions/articles/15000006456-yubikey-smart-card-deployment-guide

https://www.yubico.com/products/services-software/download/computer-logon-tools/

https://de.wikipedia.org/wiki/GINA
https://en.wikipedia.org/wiki/Windows_10

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *