|
Aus dem Projekt Windows seziert hat das Bundesamt
für Sicherheit in der Informationstechnik (BSI) die erste technische
Analyse veröffentlicht. In der 169 Seiten langen Untersuchung
geht es um Windows Hello for Business (WHfB), also Microsofts
Anmeldung per PIN oder Biometrie für Unternehmensumgebungen.
Die Analyse
beschreibt nicht nur die Architektur, sondern rekonstruiert zahlreiche
interne Abläufe per Reverse Engineering und bewertet sie aus
Sicht eines Angreifers mit lokalen Administratorrechten.
Klassische Passwörter werden mit Windows Hello for Business
durch schlüsselbasierte Anmeldungen ersetzt. Lokal authentifizieren
sich Nutzer dabei per PIN oder biometrischem Merkmal wie Gesicht
oder Fingerabdruck. Ein kryptografischer Schlüssel bleibt auf
dem Gerät, idealerweise geschützt durch das Trusted Platform
Module (TPM). Das Gerät weist sich gegenüber dem Active
Directory oder Microsoft Entra ID anschließend mit diesem
Schlüssel aus.
Diesen grundsätzlichen Aufbau von Windows Hello for Business
bestätigt die Analyse des BSI. Zudem beschreibt sie mehrere
Einschränkungen und Angriffsmöglichkeiten, die Microsoft
zwar teilweise erwähnt, aber deutlich weniger ausführlich
bewertet.
Mit der Veröffentlichung dieser Analyse beginnt das BSI seine
angekündigte Reihe Windows seziert. Weitere Analysen,
unter anderem zu Protected Process Light (PPL) und Control Flow
Guard (CFG), sollen in den kommenden Monaten folgen.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|