Biometrische Benutzerauthentifizierung mit Windows Hello

Microsoft bietet mit Windows Hello unter Windows 10 eine Benutzerauthentifizierung an, die jenseits der standardmäßigen PIN- bzw. Passwortsicherheit dem Benutzer die Möglichkeit gibt, sich mit seinen einzigartigen, biometrischen Daten an seinem Computer zu authentifizieren. Typisch sind dabei die Fingerabdruck- und die Infrarot-Gesichtserkennung.

Windows Hello Authentifizierungsprozess 2a

Aber Windows Hello bietet mit dem Windows Biometric Framework Geräteanbietern die Möglichkeit, weitere biometrische Erkennungssysteme zu integrieren. Ein Beispiel ist PalmSecure von Fujitsu, welches auf der Handvenenmustererfassung durch Nahinfrarotlicht basiert. Interessant wird Windows Hello vor Allem dann, wenn einzelne Benutzer häufig unterwegs sind oder oft ihren Arbeitsplatz verlassen. Dann ist mit Windows Hello eine schnellere und sichere Anmeldung möglich.

Noch mehr Sicherheit mit Windows Hello for Business

Windows Hello for Business bietet eine zusätzliche Sicherheitsstufe durch die Verwendung asymmetrischer Schlüssel, die durch das Sicherheitsmodul (TPM) des Geräts geschützt werden. Dieses Modul erfordert eine Benutzergeste (PIN oder biometrische Daten) für die Authentifizierung.

Authentifizierungsprozess

Die folgende Abbildung zeigt, wie die Komponenten in Verbindung miteinander arbeiten:

Windows Hello Authentifizierungsprozess 1a

Im Detail läuft der Authentifizierungsprozess nach dem folgenden Schema ab:

  • Der Benutzer entsperrt sein Gerät laut Einrichtung.
  • Die Login-Informationen werden an das AD oder den Identity-Provider (IDP) gesendet.
  • Das Gerät erstellt ein Public/Private-Key-Paar und übermittelt den Public-Key an den IDP.
  • Der IDP übermittelt eine Challenge an das Endgerät.
  • Das Endgerät signiert die Challenge mit dem entsprechenden Private-Key und sendet diese zurück an den IDP.
  • Stimmen die Daten überein erstellt der IDP ein Security-Token.
  • Dieser Security-Token wird dann vom Endgerät genutzt, um auf die gesicherten Ressourcen zuzugreifen.

Windows Hello Authentifizierungsprozess 2a

Freigabe von Transaktionen über Windows Hello

Normalerweise denkt man bei Windows Hello an die elementare Benutzerauthentifizierung gegenüber dem Betriebssystem. Aber Microsoft ermöglicht über entsprechende APIs auch den Abruf der Windows Hello-Benutzerauthentifizierung innerhalb beliebiger Anwendungen. Beispiel mag die Freigabe einer Bestellung in einer CRM- oder ERP-Anwendung sein.
Denkbar sind hier Programme von einfach ausführbaren .exe Dateien bis hin zu Erweiterungen für Office Programme wie Excel, Word oder Outlook oder der Einsatz im SAP Bereich. Neben der Möglichkeit der Umsetzung in C# Code gibt es für Microsoft Edge auch eine prototypische Umsetzung in Javascript, wodurch sich beispielsweise Möglichkeiten ergeben, um Prozesse in Microsoft Dynamics 365 oder Sharepoint durch Sicherheitsfreigaben zu erweitern.

Deployment

Um Windows Hello for Business optimal auf die bestehende Infrastruktur in Ihrem Unternehmen anzupassen, gibt es von Microsoft eine Planungshilfe. Dabei wird in drei verschiedene Deployment Modelle unterschieden: Cloud only, hybrid und on-premises. Jedes dieser Modelle hat seine speziellen Vorteile für verschiedene Unternehmensstrukturen.

Windows Hello nicht ohne Fallgruben

Windows Hello bietet interessante Möglichkeiten, hat aber auch einige Fallgruben – wie wir in unseren bisherigen Projekten feststellen konnten. Gern unterstützen wir Sie, insbesondere in diesen Windows Hello-Themen:

  • Möglichkeiten und Grenzen ausloten
  • Infrastruktur und Deployment
  • Einbindung in bestehende und neue Anwendungen
Jüngere Beiträge
7. Aachener Firmenlauf mit Team4 Das Dynamics 365 CRM Portal individuell anpassen