Inhalt

Journey To Passwordless: FIDO2

Artikelübersicht

  1. Passwordless - Aber warum?
  2. Initiale Konfiguration
  3. Temporary Access Pass
  4. FIDO2 Security keys
  5. Windows 10 Device Onboarding und Windows Hello for Business
  6. Administrieren mit PowerShell und ohne Passwort
  7. Microsoft Authenticator app
  8. Fazit

Wiederholung

In der letzten Woche habe ich die initiale Einrichtung eines Admin Accounts mittels Temporary Access Pass erläutert. Heute will ich mit FIDO2 eine Anmeldemethode vorstellen, die für regelmäßige Anmeldungen gedacht ist.

Full disclosure
Die hier verwendeten FEITIAN FIDO2 Security Keys wurden mir von FEITIAN Technologies kostenfrei zu Verfügung gestellt.

Was ist FIDO2?

FIDO steht für Fast Identity Online und FIDO2 ist ein Industriestandard der FIDO Alliance zur Authentifizierung im Web (WebAuthn). Dabei bietet dieser Standard eine nicht phishbare Möglichkeit sich an Webservices ohne Passwort anzumelden. Darin besteht auch der größte Unterschied zu ersten Version FIDO U2F, welches als zweiter Faktor bei der Anmeldung genutzt werden konnte.

Microsoft unterstützt im Azure AD die passwortlose Anmeldung mit FIDO2 Security Keys, jedoch nicht FIDO U2F Keys.

Bei der Authentifizierung mit einem FIDO2 Security Key werden folgende Schritte durchlaufen:

/journey-passwordless-fido2/images/PasswordlessAuthFlow-FIDO2.png

  1. Der Authentication Provider auf dem Client sendet beim Anmeldevorgang eine entsprechende Anfrage an das Azure AD
  2. Das Azure AD beantwortet diese Anfrage mit einer zufälligen und willkürlich gewählten Zahl, der Nonce
  3. Der Benutzer entsperrt den privaten Schlüssel in der FIDO2 Secure Enklave mittels einer PIN oder biometrischen Methode (Gesichtserkennung oder Fingerabdruck) und bestätigt durch die physikalische Berührung des Schlüssels, das er wirklich anwesend ist. Nun signiert der Client die empfangene Nonce mit dem privaten Schlüssel.
  4. Nachdem die nonce signiert ist wird sie wieder an das Azure AD gesendet.
  5. Das Azure AD verifiziert die Signatur mit dem öffentlichen Teil des Schlüssels und vergleich die Nonce.
  6. Wenn die Nonce gültig ist antwortet das Azure AD mit einem primary refresh token (PRT)
  7. Mit diesem PRT kann der Anwender nun auf Dienste wie Mail oder Teams zugreifen

Technische Vorraussetzungen

Die wichtigste Vorraussetzung ist ein unterstützter FIDO2 Schlüssel.

Außerdem ist die Nutzung nur mit einem unterstützen Browser und Betriebssystem möglich.

Zusammengefasst kann man sagen das Chrome und Chromium-based Microsoft Edge auf Windows, Linux und macOS unterstützt werden.

Während USB bei allen Betriebssystemen als Verbindungsmethode genutzt werden kann ist Bluetooth Low Energy und NFC ausschließlich auf Windows Computern nutzbar.

Warnung
Auf iOS und Android werden Security Keys aktuell von Microsoft nicht unterstützt.

Alle anderen technischen Vorrausetzungen im Azure AD haben wir in den letzten zwei Blogeinträgen geschaffen.

Auch wenn in diesem Blogeintrag die FIDO2 Schlüssel von FEITIAN genutzt werden, sind alle Grundfunktionen mit jedem von Microsoft zertifizierten FIDO2 Security Key realisierbar.

PIN vs. Biometrie

/journey-passwordless-fido2/images/lukenn-sabellano-RDufjtg6JpQ-unsplash.jpg

Bei jedem Zugriff auf das private Schlüsselmaterial im FIDO2 muss dieser Zugriff freigegeben werden. Dieses Sicherheitsmerkmal verhindert bei Verlust des Schlüssels das jemand auf die Daten zugreifen kann.

Diese Freigabe wird z.B. durch die Eingabe eines PINs und dem physikalischen Berühren des Security Keys erteilt. FEITIAN macht die Eingabe eines PINs durch die clevere Nutzung von biometrischen Merkmalen in Ihren BioPass FIDO2 Schlüsseln unnötig. Das verwendete Merkmal ist in beiden Fällen ein Fingerabdruck.

Die physische Berührung des Schlüssels prüft den Fingerabdruck des Anwenders und gibt das private Schlüsselmaterial, wenn der Fingerabdruck korrekt ist, für die Anmeldung frei. Der Anmeldeflow wird so um einen Schritt verkürzt.

Was die Sicherheit der Fingerabdruckerkennung angeht, FEITIAN gibt die False Accept Rate mit 0,001% an.

FEITIAN BioPass FIDO2 K27 + K33

/journey-passwordless-fido2/images/FEITIAN-FIDO2-BioPass.jpg

Die beiden FIDO2 Security Keys unterscheiden sich vor allem in den unterstützten Anschlüssen.

Anschluss K27 K33
USB-A Ja Nein
USB-C Nein Ja (female)
Bluetooth LE Nein Ja
NFC Nein Ja
Preis 60 $ 90 $

Während der K27 durch den USB-A Anschluss eine breiten Support für alle möglichen Computer bietet, kann der K33 komplett kabellos betrieben werden. Eigentlich jeder moderne Laptop unterstützt Bluetooth LE. Sollte das doch mal nicht möglich sein, kann der Schlüssel mit einem USB-C Kabel direkt angeschlossen werden.

Einrichtung

Der erste Schritt zur Einrichtung der FIDO2 Security Keys ist das Hinterlegen eines Fingerabdrucks.

Dafür gibt es auf Windows zwei Möglichkeiten.

Der BioPass FIDO2 Manager kann auch für Linux und macOS heruntergeladen werden.

BioPass FIDO2 Manager

Beide Security Keys müssen für die Initialeinrichtung mittels USB an den Computer angeschlossen werden.

Nachdem man den BioPass FIDO2 Manager gestartet hat kann man den ersten Fingerabdruck hinzufügen.

Dabei hat man die Wahl zwischen “PIN und Fingerprint” oder “Fingerprint only”. Es bietet sich an die PIN als Backupoption zu nutzen, sollte man z.B. einen verletzten Finger haben.

/journey-passwordless-fido2/images/BioPass-Setup-1.png

Bei der initialen Einrichtung mit PIN muss nach Eingabe des PINs und dem Klick auf “OK” der Kontaktsensor des Security Keys berührt werden. Die Software zeigt keine Aufforderung dazu an, läuft aber sonst in einen Fehler. In der detaillierten Bedienungsanleitung ist dieser Umstand beschrieben.

Jeder Fingerabdruck der angelernt wird muss vier mal bestätigt werden.

/journey-passwordless-fido2/images/BioPass-Setup-2.png

Windows Sign-In options

In Windows 10 kann der Security Key auch nativ eingerichtet werden. Der einzige Unterschied ist, das die Option “Fingerprint only” nicht vorhanden ist. Es muss immer erst ein PIN eingerichtet werden bevor der erste Fingerabdruck registriert werden kann.

/journey-passwordless-fido2/images/WindowsSettingsSetup.png

Security Key zurücksetzten

Das Zurücksetzen des Security Keys ist nur in den ersten 10 Sekunden nach Anschluss möglich. Daher fordert Windows einen zum erneuten Einstecken des Schlüssels auf.

Eine Bestätigung mit einem gültigen Fingerabdruck oder per PIN ist nicht notwendig. Da das private Schlüsselmaterial komplett gelöscht wird und der Schlüssel anschließend nicht mehr für die Anmeldung genutzt werden kann ist das kein Sicherheitsproblem.

/journey-passwordless-fido2/images/WindowsResetFIDO2.png

Verbinden mittels Bluetooth

Wenn der K33 einmal eingerichtet ist, kann er mittels Bluetooth mit einem Computer verbunden werden.

Öffne dazu die Bluetooth Einstellungen und suche nach neuen Bluetooth Geräten. Anschließend muss der K33 eingeschaltet und für das Pairing der On/Off Switch ca. 5 Sekunden gedrückt werden bis die blaue Bluetooth LED schnell blinkt.

In der Liste der gefunden Geräten sollte un ein neues Gerät mit Namen “FT_nnnnn” angezeigt werden, wobei nnnnn für die Seriennummer des Security Keys steht.

/journey-passwordless-fido2/images/BlutoothSetup.png

Sobald der Schlüssel erfolgreich verbunden ist kann er kabellos betrieben werden.

Security Key mit AAD Konto verbinden

Nach der Anmeldung mit dem Temporary Access Pass muss der Security Key als Anmeldemethode unter My Security Information hinzugefügt werden.

Notiz
NFC konnte ich mangels eines entsprechenden NFC Lesegeräts nicht testen.

Im Portal “Add method” auswählen und anschließend als Methode “Security key” wählen.

/journey-passwordless-fido2/images/AddFIDO2Key-1.png

Egal ob Bluetooth oder USB-A, als Verbindungstyp muss immer USB gewählt werden.

/journey-passwordless-fido2/images/AddFIDO2Key-2.png

Die Anforderungen von Windows bestätigen und den FIDO2 Security mittels Fingerabdruck entsperren.
Abschließend noch einen sprechenden Name für den Security Key wählen und bestätigen.

/journey-passwordless-fido2/images/AddFIDO2Key-3.png

Ab sofort ist eine Anmeldung mittels des FIDO2 Security Key möglich.

Security Key für die Anmeldung im Browser nutzen

Bei der nächsten Anmeldung am Azure AD mittels Browser kann direkt “Sign in with security key” ausgewählt werden. Die Eingabe des Benutzernamens ist nicht erforderlich.

/journey-passwordless-fido2/images/SignInToAzure.png

Der große Vorteil der FIDO2 Security Keys ist das auch mehrere (bis zu 128) Accounts auf dem Schlüssel hinterlegt werden können. Sobald mehr als ein Account mit dem Schlüssel verbunden ist, wird bei der Anmeldung eine Auswahlliste angezeigt. Das macht diese Art der passwortlosen Anmeldung vor allem für Personen mit vielen Accounts gut nutzbar.

/journey-passwordless-fido2/images/MultipleAccounts.png

Jetzt muss für die Anmeldung der Security Key “geöffnet” werden, dazu fordert der Computer auf das man den Security Key berührt. Da der Fingerabdruck den Key freigibt und damit eine Berührung ausreicht, ist die Anmeldung nach nur ein paar Sekunden abgeschlossen.

/journey-passwordless-fido2/images/BluetoothActionNeeded.png

Zu keinem Zeitpunkt wurde ein Passwort über das Internet gesendet das abgefangen und wiederverwendet werden könnte.

FEITIAN - Pass to Passwordless

FEITIAN bietet, unter bestimmten Vorraussetzungen im Rahmen des Path To Passwordless Programms, ein kostenloses Kit für die Evaluation an.

Nächste Schritte

Jetzt wo der Security Key für die passwortlose Anmeldung am Browser funktioniert ist der nächste Schritt das Einrichten einer Privileged Admin Workstation (PAW). Natürlich auch 100% passwordless.