Ab dem Windows 10 Mai 2019 Update ist zur Anmeldung an Microsoft-Konten via FIDO2 keine zusätzliche Hardware mehr nötig – Windows Hello erledigt den Job.

Die FIDO-Allianz hat Microsofts Authentifizierungstechnologie „Windows Hello“ als offiziellen FIDO2-Authenticator zertifiziert.

Das 2015 eingeführte Windows Hello ermöglicht die Anmeldung mittels biometrischer Merkmale (Iris-Scan, Fingerabdruck) oder einer gerätegebundenen PIN am Windows-10-Betriebssystem, an Microsoft-Konten sowie kompatiblen Webdiensten und Apps.

Bereits seit dem Windows 10 October 2018 Update (Version 1809) bietet Microsoft seinen Kunden die Möglichkeit, FIDO2-Security-Keys als hardwarebasierte – und ebenfalls passwortlose – „Hello“-Alternative zum Einloggen in ihre Microsoft-Accounts zu nutzen.

Mit der FIDO2-Zertifizierung von Hello funktioniert die passwortlose Anmeldung via FIDO2 nun auch ohne zusätzliche Hardware – sowohl an Microsoft-Konten als auch bei sonstigen Webdiensten, die die FIDO/WebAuthn-Authentifizierung unterstützen.

FIDO2 ist ein offener Standard, der einerseits die Web-Authentifizierungsspezifikation (WebAuthn) des World Wide Web Consortiums (W3C) und andererseits ein spezielles Protokoll (Client to Authenticator Protocol, CTAP) für die Authentifizierung bei Online-Diensten umfasst.

Microsoft sieht die FIDO2-Zertifizierung von Hello als einen weiteren Schritt auf dem Weg in „eine Welt ohne Passwörter“ für rund 800 Millionen Windows-10-Nutzer weltweit. „Niemand mag Passwörter (außer Hackern)“, heißt es in Microsofts Blogeintrag, zur Hello-Zertifizierung. Dass Nutzer zur Verwendung von Passwörtern neigen, die besonders leicht zu erraten seien, mache sie zur primären Zielscheibe von Angreifern.

Auch die FIDO-Allianz betont in einer Pressemitteilung die Überlegenheit der für FIDO2 verwendeten Public-Key-Kryptografie gegenüber Passwörtern. FIDO2 schütze vor Phishing und anderen Varianten des Passwort-Diebstahls und sei gleichzeitig immun gegen (kryptoanalytische) Replay-Angriffe.

Laut Microsoft soll Windows Hello mit dem für Ende Mai geplanten Windows-10-Update auf Version 1903 zum offiziellen FIDO2-Authenticator werden. Die Anmeldung via FIDO2 soll zunächst nur in den „aktuellsten Firefox-Versionen“, später aber auch in Chromium und Chromium-basierten Browsern (darunter auch Microsofts aktuellem Edge) funktionieren.

Hardware-Security-Keys bleiben als portable und flexible Sicherheitslösung weiterhin nutzbar. Dasselbe gilt für Microsofts 2017 eingeführte mobile „Web Authenticator“-App für Android und iOS, die zwar weiterhin keine FIDO2-Zertifizierung besitzt, aber laut dem Unternehmen auf derselben sicheren Technologie basiert.