Für einem Großteil der in Windows 10 verbesserten Sicherheitsmaßnahmen gilt: Die Art und Weise, wie Nutzer und Software ihre Identität nachweisen, wird sich grundlegend verändern. Nein, das war kein Fehler im letzten Satz. Genau wie Personen kann auch eine Software eine Identität haben und Anwendungen müssen legitimieren (können), dass sie die sind, für die sie sich ausgeben.
Die zugrunde liegende Technologie ist altbewährt: Hier kommen Public-Key-Infrastruktur (PKI) und Zertifikate zum Einsatz wie sie auch im Internet verwendet werden.
Wir alle haben schon indirekt mit Zertifikaten zu tun gehabt, beispielsweise beim Besuch von Websites, die das sichere https-Webprotokoll verwenden. Wer kennt nicht das Popup-Fenster mit der Frage, ob wir das Sicherheitszertifikat der Website akzeptieren wollen?
Zertifikate und Identität
Was ist eigentlich ein Webzertifikat? Im Prinzip handelt es sich dabei um einen Text, der bestätigt, dass Sie bei der richtigen URL gelandet sind. Der Text und die dazugehörigen Felder wurden von einer vertrauenswürdigen Zertifizierungsstelle digital signiert und zwar mithilfe des privaten Schlüssels eines öffentlich/privaten Schlüsselpaars.
Hier finden Sie einen umfassenden Überblick über die Funktionsweise von öffentlich/privaten Schlüsseln in Signaturen. Kurz gesagt: Im Gegensatz zur symmetrischen Verschlüsselung werden hier unterschiedliche Schlüssel verwendet, wobei jeder Key entschlüsseln kann, was der andere verschlüsselt hat. Um eine Signatur zu erstellen, können Sie einen Text mit dem privaten Key verschlüsseln. Der Empfänger entschlüsselt ihn dann mit einem öffentlichen Key, der für jeden zugänglich ist.
Wenn Sie jetzt neugierig geworden sind, können Sie sich ein Zertifikat ansehen, indem Sie auf das Schloss-Symbol in der Adressleiste klicken.
Warum sollte für systemeigene Anwendungen nicht derselbe Identitätsnachweis verwendet werden wie für webbasierte?
Vertrauenswürdige Software
Dafür gibt es überhaupt keinen Grund! Die Hersteller von mobilen Geräten setzen bereits seit Jahren eine ähnliche Signaturfunktion ein. Zum Beispiel kann ich nicht jede App auf mein iPhone oder iPad laden, sondern nur Apps, die aus dem App Store von Apple stammen und die digital authentifiziert wurden. Dasselbe gilt für den Microsoft Store.
Durch die Verwendung von Signierungsprozessen wurde mobile Malware zwar deutlich minimiert, konnte jedoch nicht vollständig beseitigt werden. Einige Schadprogramme rutschen selbst den Wächtern der App-Stores durch, auch wenn deren Erfolgsbilanz bisher recht beeindruckend ist.
Inspiriert von mobiler Software, führt Microsoft in Windows 10 nun eine Umgebung mit vertrauenswürdigen Anwendungen ein. Dabei können Geräte und Server gesperrt und gezwungen werden, ausschließlich authentifizierte Software zu nutzen.
Das ist ausgesprochen sinnvoll (und schon lange fällig), doch für Administratoren und Nutzer, die es gewohnt sind, nach Lust und Laune Software herunterzuladen, wird das ein echter Kulturschock. Der Preis für die bisherige Praxis nach dem Motto „erlaubt ist, was gefällt“ war allerdings hoch: Hacker mussten sich keine Gedanken machen, dass ihre APTs nicht geladen werden könnten, wenn Nutzer nur die Dateianhänge von Phishing-E-Mails öffneten.
Theoretisch hätten signierte Anwendungen genau die Malware blockiert, die Sicherheitsvorfälle bei großen Handelsketten, Banken und Institutionen aus dem Gesundheitswesen ausgelöst hat.
Stärkere PKI-Integration: Anmeldedaten und FIDO
Ja, Microsoft wird Ihnen erlauben, interne Anwendungen selbst zu signieren, so dass Unternehmen bestehende Software weiterhin verwenden können. Und natürlich werden Hacker immer einen Weg finden, die neuen Sicherheitsmaßnahmen zu umgehen – sie haben es sogar schon geschafft, Zertifizierungsstellen zu infiltrieren, um gefälschte Zertifikate auszustellen. Im Vergleich zum derzeitigen Ad-hoc-Prinzip bei der Applikationssicherheit ist das dennoch eine enorme Verbesserung.
Bei den Anmeldedaten der Benutzer verfolgt Microsoft einen ähnlichen Ansatz. Aus Jim Alkoves Blog-Eintrag wissen wir, dass Windows 10 sich von der rein passwortbasierten Authentifizierung lösen wird.
Genau wie Anwendungen erhalten auch die Nutzer einen digitalen Identitätsnachweis, der auf öffentlich/privaten Schlüsseln basiert. Unternehmen können die Public-Key-Infrastruktur ihres bevorzugten Herstellers oder die Microsoft-PKI nutzen – das spielt keine Rolle.
Der große Vorteil: Die Nutzer müssen kein Passwort eingeben!
Microsoft gehört zur Fast Identity Online (FIDO) Alliance und integriert deren passwortfreies, auf einem offenen Standard basierendes Authentifizierungsprotokoll in Windows 10.
Kurz gesagt generieren die Nutzer zuerst öffentlich/private Schüssel für jedes Smartphone, jedes Tablet und jeden Laptop und registrieren die öffentlichen Schlüssel in Active Directory. Wird eines der Geräte verwendet interagieren diese zunächst mit einem Authentifikator – zum Beispiel einem Fingerabdruckleser oder einer biometrischen Stimmerkennung. Anschließend geben sie eine einfache, vierstellige PIN ein oder verwenden eine andere Methode als zweiten Faktor.
Schließlich wird das Gerät nach einem signierten Identitätsnachweis gefragt, um den Besitz des privaten Schlüssels nachzuweisen.
FIDO ist eigentlich noch ein bisschen komplizierter. Im nächsten Blog-Eintrag werde ich daher näher darauf eingehen und bei der Gelegenheit weitere der geplanten Sicherheitsverbesserungen für Windows 10 erläutern.
The post Das neue Sicherheitskonzept in Windows 10, Teil 2: Mehr zum Thema Authentifizierung appeared first on Varonis Deutsch.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
-1.png)
