Windows-Sicherheit abhärten / 2-Faktor-Authentifizierung mit Hardwarekeys
Windows Softwareseitig
https://blog.fefe.de/?ts=9c40177c
Ich halte das hier mal fest, geht um diese Präsentation.
Hardwarekeys
- Windows 11 kann 2-Faktor-Authentifizierung im Web per Windows Hello. Das ist eine ziemlich dumme Idee, wenn die Maschine nicht permanent am Mann ist. Windows Hello bindet sich an den TPM-Chip auf dem Mainboard. Daher kann man das als Hardwarekey sehen.
- genau so kann Dashlane inzwischen Passkeys speichern. Andere Passwortmanager sicherlich auch. Dashlane synchronisiert aber übers Internet.
- Blöd dazu ist dass Microsoft natürlich die Nutzung von Windows Hello als Passkey möglichst einfach gestaltet, während die echten USB-Securitykeys deutlich mehr Klicks zum Einrichten benötigen. Viele unbedarfte Anwender landen also in dem eigenen TPM-Chip auf dem Mainboard. (Psychologie: Weg des geringsten Widerstands bzw. ungelesenes Durchklicken der ersten Optionen)
- Es gibt mehrere FIDO-Standards, ein YubiKey Neo aus 2015 funktioniert z.B. wegen dem älteren Standard nicht mit Microsoft, dafür aber mit Google und und fast überall anders auch, weil diese den alten Standard noch zulassen.
- Auch Security Keys müssen also zumindest jedes Jahrzehnt ersetzt werden, weil sich die Standards und Sicherheitstechniken entwickeln.