Fingerabdruck statt Passwort: Microsoft verbessert Login

Microsoft will den Login ohne Passwort voranbringen. Neben der eigenen Authenticator-App können jetzt auch Hardware-Keys und Windows Hello für den Microsoft-Login genutzt werden. 

Passwörter, die mehrfach genutzt werden oder zu einfach sind, gibt es leider immer noch viel zu viele. Microsoft sagt dem den Kampf an und bringt die passwortlose Authentifizierung für den Microsoft-Account weiter voran.

Schon letztes Jahr erweiterte das Redmonder Unternehmen dafür seine Authenticator-App fürs Smartphone, die den Login in den Microsoft-Account ermöglicht. Jetzt wird auch der Fido-2-Standard unterstützt, mit dem Nutzer zum Login auch Hardware-Keys oder Windows Hello nutzen können.

Login per Hardware-Key mit Fingerabdruck oder Gesichtserkennung

Kompatible Hardware-Keys gibt es beispielsweise von Yubikey, die einen Fingerabdruck oder die Eingabe einer Pin beim Login erfordern und den Private Key lokal speichern. Alternativ lässt sich auch Windows Hello nutzen. Damit dienen biometrische Informationen wie der Fingerabdruck oder das Gesicht zur Authentifizierung.

Mit der Unterstützung des Standards, den Microsoft selbst mit der Fido Alliance vorantreibt, können sich Nutzer somit bei Microsoft-Diensten wie Outlook, Office, Onedrive, Bing, Skype und Xbox Live ohne Passwort einloggen. Die Einrichtung kann in den Sicherheitseinstellungen des Microsoft-Accounts vorgenommen werden.

Um die Funktion nutzen zu können, benötigen Nutzer das aktuelle Oktober-2018-Update von Windows 10 und den Edge-Browser. Laut Microsoft (Provisions-Link) sei man das erste der Fortune-500-Unternehmen, das die Authentifizierung ohne Passwort anbietet.

Browser und Webdienste müssen Webauthn-Standard für passwortlosen Login unterstützen

Um Fido 2 auch in anderen Browsern nutzen zu können, müssen Browser den Webauthn-Standard des W3C unterstützen. Googles Chrome hat den seit Version 67 an Bord, Mozilla Firefox seit Version 60. Neben Diensten wie Dropbox unterstützen auch Facebook, GitHub, Salesforce, Stripe und Twitter Webauthn für den Login.

Loggen sich Nutzer über die neue Methode bei Microsoft ein, generiert der Server des Unternehmens eine willkürliche Account-Nummer, die an den lokalen Rechner und das Fido-2-Gerät weitergegeben wird. Die signieren diese mit dem Private Key und geben beispielsweise die Login-Methode als Metadaten an den Microsoft-Server zurück, wo sie mit dem Public Key verifiziert werden.

Anfang 2019 sollen auch Enterprise-Nutzer die Funktion testen können, ebenso die Integration in Work- und School-Accounts in Azure Active Directory soll noch folgen. Nachdem es bei der Einführung der neuen Login-Methode erst Probleme mit Multifaktor-Authentifizierung gab und Nutzer sich dadurch nicht mehr einloggen konnten, sagt die Microsoft-Status-Seite inzwischen, dass alles wieder ordnungsgemäß funktionieren soll.