Übersicht über kennwortlose Strategie
In diesem Artikel wird die Kennwortlose Strategie von Microsoft beschrieben, und es wird beschrieben, wie Windows-Sicherheitsfeatures bei der Implementierung helfen.
In vier Schritten kennwortlos
Microsoft arbeitet hart daran, eine Welt zu schaffen, in der Kennwörter nicht mehr benötigt werden. So stellt sich Microsoft den Vier-Schritte-Ansatz vor, um die Ära der Kennwörter für die Organisationen zu beenden:
Bereitstellen einer Kennwortersetzungsoption
Bevor auf Kennwörter verzichtet werden kann, muss für einen Ersatz gesorgt werden. Windows Hello for Business- und FIDO2-Sicherheitsschlüssel bieten starke hardwaregeschützte zweistufige Anmeldeinformationen, die einmaliges Anmelden bei Microsoft Entra ID und Active Directory ermöglichen.
Die Bereitstellung von Windows Hello for Business- oder FIDO2-Sicherheitsschlüsseln ist der erste Schritt in Richtung einer kennwortlosen Umgebung. Benutzer verwenden diese Features wahrscheinlich aufgrund ihrer Bequemlichkeit, insbesondere in Kombination mit biometrischen Daten. Einige Workflows und Anwendungen benötigen jedoch möglicherweise weiterhin Kennwörter. In dieser frühen Phase geht es darum, eine alternative Lösung für Kennwörter zu implementieren und die Benutzer daran zu gewöhnen.
Verkleinern des benutzerseitig sichtbaren Kennwortbereichs
Mit einer Option zum Ersetzen von Kennwörtern und Kennwörtern, die in der Umgebung gleichzeitig vorhanden sind, besteht der nächste Schritt darin, die Kennwortoberfläche zu reduzieren. Für die Umgebung und Workflows sollen keine Kennwörter mehr abgefragt werden. Das Ziel dieses Schritts besteht darin, einen Zustand zu erreichen, in dem die Benutzer wissen, dass sie über ein Kennwort verfügen, es aber nie verwenden. Dadurch gewöhnen Benutzer es sich leichter ab, bei jeder Eingabeaufforderung auf ihrem Computer ein Kennwort anzugeben. Dabei erfolgt häufig das Phishing von Kennwörtern. Benutzer, die ihr Kennwort nur selten, wenn überhaupt, verwenden, werden es eher nicht bereitstellen. Kennworteingabeaufforderungen sind nicht mehr die Norm.
Übergang zu einer kennwortlosen Bereitstellung
Sobald die vom Benutzer sichtbare Kennwortoberfläche entfernt wurde, kann Ihre organization beginnen, Benutzer in eine kennwortlose Umgebung zu übertragen. In dieser Phase geben Benutzer ihr Kennwort nicht ein, ändern oder kennen es nicht.
Der Benutzer meldet sich mit Windows Hello for Business- oder FIDO2-Sicherheitsschlüsseln bei Windows an und genießt einmaliges Anmelden bei Microsoft Entra ID- und Active Directory-Ressourcen. Wenn der Benutzer zur Authentifizierung gezwungen wird, verwendet seine Authentifizierung Windows Hello for Business oder FIDO2-Sicherheitsschlüssel.
Entfernen von Kennwörtern aus dem Identitätsverzeichnis
Der letzte Schritt der kennwortlosen Reise besteht darin, dass keine Kennwörter vorhanden sind. In diesem Stadium speichern Identitätsverzeichnisse keine Form des Kennworts.
Vorbereiten der kennwortlosen Reise
Der Weg hin zur Kennwortlosigkeit ist wie eine Reise. Die Dauer der Reise variiert für jede organization. Es ist wichtig, dass IT-Entscheidungsträger die Kriterien verstehen, die die Länge dieser Reise beeinflussen.
Die intuitivste Antwort ist die Größe des organization, aber was genau definiert die Größe? Wir können diese Faktoren betrachten, um eine Zusammenfassung der Größe des organization zu erhalten:
| Größenfaktor | Details |
|---|---|
| Anzahl der Abteilungen | Die Anzahl der Abteilungen innerhalb einer Organisation variiert. Die meisten Organisationen verfügen über eine gemeinsame Gruppe von Abteilungen wie Geschäftsleitung, Personalwesen, Buchhaltung, Vertrieb und Marketing. Kleine Organisationen segmentieren ihre Abteilungen möglicherweise nicht explizit, größere hingegen. Darüber hinaus kann es Unterabteilungen sowie Unterabteilungen dieser Unterabteilungen geben. Sie müssen alle Abteilungen in Ihrem organization kennen und wissen, welche Abteilungen Computer verwenden und welche nicht. Es ist gut, wenn eine Abteilung keine Computer verwendet (das ist eher selten, aber durchaus möglich). Das ist eine Abteilung weniger, um die Sie sich Sorgen machen müssen. Stellen Sie dennoch sicher, dass diese Abteilung in Ihrer Liste enthalten ist und nicht anwendbar ist. Ihre Anzahl der Abteilungen muss gründlich und genau sein und die Beteiligten für die Abteilungen kennen, die Sie und Ihre Mitarbeiter auf den Weg zur Kennwortfreiheit bringen. Tatsächlich verlieren viele von uns das Organigramm aus den Augen und wie es im Laufe der Zeit wächst oder schrumpft. Aus diesem Grund müssen Sie alles inventarisieren. Vergessen Sie auch nicht, externe Abteilungen wie Anbieter oder Verbundpartner einzuschließen. Wenn Ihre organization kennwortlos ist, Ihre Partner aber weiterhin Kennwörter für den Zugriff auf Ihre Unternehmensressourcen verwenden, sollten Sie darüber bescheid wissen und sie in Ihre kennwortlose Strategie einbeziehen. |
| Organisations- oder Abteilungshierarchie | Organisations- und Abteilungshierarchien sind die Verwaltungsebenen innerhalb der Abteilungen oder der gesamten Organisation. Wie ein Gerät genutzt wird, welche Anwendungen und wie diese verwendet werden, unterscheidet sich höchstwahrscheinlich zwischen den einzelnen Abteilungen, kann aber auch innerhalb der Struktur einer Abteilung variieren. Um die richtige kennwortlose Strategie bestimmen zu können, müssen Sie diese Unterschiede in Ihrer Organisation kennen. Ein Geschäftsführer verwendet sein Gerät wahrscheinlich anders als ein Mitglied der mittleren Führungsebene in der Vertriebsabteilung. Beide Anwenderfälle wiederum unterscheiden sich wahrscheinlich davon, wie ein einzelner Benutzer in der Kundendienstabteilung sein Gerät verwendet. |
| Anzahl und Typ von Anwendungen und Diensten | Die meisten Organisationen verfügen über viele Anwendungen und haben selten eine zentrale Liste, die genau ist. Anwendungen und Dienste sind die wichtigsten Elemente im Rahmen der Vorbereitung auf die Kennwortlosigkeit. Zu einer anderen Authentifizierungsart für Anwendungen und Dienste wechseln erfordert erheblichen Aufwand. Richtlinien und Verfahren ändern zu müssen könnte entmutigend wirken. Wägen Sie Aufwand/Nutzen ab zwischen der Aktualisierung Ihrer standardmäßigen Betriebsverfahren und Sicherheitsrichtlinien im Vergleich zum Ändern von 100 Zeilen (oder mehr) Authentifizierungscode im kritischen Pfad Ihrer intern entwickelten CRM-Anwendung. Die Erfassung der Anzahl der genutzten Anwendungen fällt leichter, sobald Sie über die Abteilungen, deren Hierarchien und Akteure Bescheid wissen. Für diesen Ansatz sollten Sie eine strukturierte Liste der Abteilungen und der Hierarchie innerhalb jeder Abteilung erstellen. Jetzt können Sie die Anwendungen zuordnen, die auf den einzelnen Ebenen in jeder Abteilung verwendet werden. Außerdem möchten Sie dokumentieren, ob die Anwendung intern entwickelt oder kommerziell erhältlich ist. Wenn Letzteres der Fall ist, dokumentieren Sie Hersteller und Version. Vergessen Sie beim Inventarisieren von Anwendungen auch keine webbasierten Anwendungen oder Dienste. |
| Anzahl der Funktionspersonas | Funktionspersonas sind die Stelle, an der die drei vorherigen Bemühungen zusammentreffen. Sie kennen die Abteilungen, die Organisationsebenen in den einzelnen Abteilungen, die Anzahl der von den einzelnen Abteilungen verwendeten Anwendungen und den Anwendungstyp. Hiervon ausgehend sollten Sie Funktionspersonas erstellen. Durch eine Funktionspersona wird eine Benutzer-, Funktions- oder Rollenkategorie (einzelner Mitwirkender, Vorgesetzter, mittlere Führungskraft usw.) innerhalb einer bestimmten Abteilung einer Reihe genutzter Anwendungen zugeordnet. Es besteht eine hohe Wahrscheinlichkeit, dass Sie viele Arbeitspersonas haben. Diese Arbeitspersonas werden zu Arbeitseinheiten, auf die Sie in der Dokumentation und in Besprechungen verweisen. Sie müssen ihnen einen Namen geben. Geben Sie Ihren Personas einfache und intuitive Namen wie Amanda - Buchhaltung, Mark - Marketing oder Sue - Vertrieb. Wenn die Organisationsebenen abteilungsübergreifend dieselben sind, wählen Sie einen Vornamen, der die allgemeinen Ebenen in einer Abteilung darstellt. Beispielsweise könnte Amanda der Vorname eines einzelnen Mitwirkender in einer bestimmten Abteilung sein, während der Vorname Sue jemanden aus dem mittleren Management einer bestimmten Abteilung darstellen könnte. Darüber hinaus können Sie Suffixe (z. B. I, II, Senior usw.) verwenden, um die Abteilungsstruktur für eine bestimmte Persona weiter zu definieren. Letztlich geht es darum, eine Benennungsregel zu erstellen, bei der Beteiligte und Partner keine lange Tabellenliste durchlesen oder einen geheimen Dechiffrierring verwenden müssen. Versuchen Sie nach Möglichkeit auch, für die Bezüge Personennamen zu verwenden. Schließlich geht es jeweils um eine Person, die dieser spezifischen Abteilung angehört und diese spezifische Software verwendet. |
| IT-Struktur der Organisation | Die Strukturen von IT-Abteilungen können mehr variieren als jene von Organisationen. Einige IT-Abteilungen sind zentralisiert, andere dezentralisiert. Außerdem wird der Weg zur Kennwortfreiheit wahrscheinlich dazu führen, dass Sie mit dem Clientauthentifizierungsteam , dem Bereitstellungsteam , dem Sicherheitsteam , dem PKI-Team , dem Identitätsteam , dem Cloudteam usw. interagieren. Die meisten dieser Teams sind Ihr Partner auf Ihrem Weg zur Kennwortfreiheit. Stellen Sie sicher, dass in jedem dieser Teams ein kennwortloser Stakeholder vorhanden ist und dass die Bemühungen verstanden und finanziert werden. |
Beurteilen Ihrer Organisation
Mittlerweile können Sie verstehen, warum dies eine Reise und keine schnelle Aufgabe ist. Sie müssen die Situationen, in denen Kennwörter sichtbar abgefragt werden, für jede Ihrer Funktionspersonas untersuchen. Nachdem Sie die Kennwortabfragen identifiziert haben, müssen Sie diese verringern. In einigen Fällen ist das einfach, etwa weil es bereits eine Lösung in der Umgebung gibt und es nur um die Umstellung der Benutzer auf diese geht. Die Auflösung für einige Kennwortoberflächen ist möglicherweise vorhanden, wird aber nicht in Ihrer Umgebung bereitgestellt. Diese Lösung führt zu einem Projekt, das geplant, getestet und dann umgesetzt werden muss. Dieses Projekt umfasst wahrscheinlich mehrere IT-Abteilungen mit mehreren Personen und möglicherweise ein oder mehrere verteilte Systeme. Projekte dieser Art benötigen Zeit und dedizierte Zyklen. Dasselbe gilt auch für die Inhouse-Softwareentwicklung. Auch bei agilen Entwicklungsmethoden ist es wichtig, die Art der Authentifizierung bei einer Anwendung zu ändern. Ohne die richtige Planung und Prüfung könnte dies u. U. die Produktivität erheblich beeinträchtigen.
Die Zeit für die Kennwortlose Reise variiert je nach Ausrichtung der Organisation auf eine kennwortlose Strategie. Die Vereinbarung von oben nach unten, dass eine kennwortlose Umgebung das Ziel der organization ist, erleichtert Unterhaltungen. Einfachere Unterhaltungen bedeuten, dass weniger Zeit damit verbracht wird, die Menschen zu überzeugen, und mehr Zeit, die auf das Ziel hin verbracht wird. Diese Übereinstimmung auf allen Ebenen, die vor anderen laufenden IT-Projekten Priorität hat, hilft allen dabei, zu verstehen, wie bestehende Projekte priorisiert werden sollen. Die Übereinstimmung bei Prioritäten sollte Eskalationen auf Manager- und Geschäftsführungsebene auf ein Minimum reduzieren. Nach der Behandlung dieser Organisationsaspekte werden moderne Projektverwaltungstechniken genutzt, um auf dem Weg zur Kennwortlosigkeit fortzufahren. Die organization ordnet Ressourcen basierend auf der Priorität zu (nachdem sie sich auf die Strategie geeinigt haben). Diese Ressourcen werden Folgendes tun:
- Durcharbeiten der Arbeitspersonas
- Organisieren und Bereitstellen von Benutzerakzeptanztests
- Auswerten der Ergebnisse von Benutzerakzeptanztests für vom Benutzer sichtbare Kennwortoberflächen
- Arbeiten Sie mit Projektbeteiligten zusammen, um Lösungen zu erstellen, die benutzerseitig sichtbare Kennwortoberflächen verringern.
- Hinzufügen der Projektmappe zum Projektbacklog und Priorisieren mit anderen Projekten
- Bereitstellen der Lösung
- Durchführen von Benutzerakzeptanztests, um zu bestätigen, dass die Lösung die sichtbare Kennwortoberfläche des Benutzers entschärft
- Wiederholen Sie die Tests nach Bedarf.
Der Wechsel Ihrer Organisation zur Kennwortlosigkeit kann einige Zeit in Anspruch nehmen. Das Zählen der Anzahl der Arbeitspersonas und der Anzahl der Bewerbungen ist ein guter Indikator für die Investition. Hoffentlich wächst Ihre Organisation, was bedeutet, dass die Liste der Funktionspersonas und jene der Anwendungen wahrscheinlich nicht kleiner werden. Wenn die arbeit, heute kennwortlos zu gehen n ist, dann ist es wahrscheinlich, dass es morgen kennwortlos ist n x 2 oder mehr, n x n. Lassen Sie sich aber nicht von Dauer oder Größe des Projekts ablenken. Während Sie die einzelnen Arbeitspersona durchlaufen, werden die Aktionen und Aufgaben für Sie und Ihre Projektbeteiligten vertrauter. Legen Sie das Projekt auf beträchtliche, realistische Phasen fest, wählen Sie die richtigen Arbeitspersonas aus, und bald werden Teile Ihrer organization Übergang in einen kennwortlosen Zustand angezeigt.
Was ist die beste Anleitung, um mit dem Übergang zur Kennwortlosigkeit zu beginnen? Sie möchten Ihrem Management so schnell wie möglich einen Proof of Concept zeigen. Im Idealfall möchten Sie es bei jedem Schritt Ihrer kennwortlosen Reise zeigen. Wenn Ihre kennwortlose Strategie für alle Priorität behält und laufend Fortschritte aufgezeigt werden, bleiben alle darauf fokussiert.
Funktionspersonas
Sie beginnen bei Ihren Funktionspersonas. Diese waren Teil des Vorbereitungsprozesses. Sie haben einen Personanamen, z. B. Amanda - Accounting II, oder eine andere Benennungskonvention, die Ihre organization definiert. Diese Arbeitspersona enthält eine Liste aller Anwendungen, die Amanda verwendet, um ihre zugewiesenen Aufgaben in der Buchhaltungsabteilung auszuführen. Wählen Sie zunächst eine Funktionspersona aus. Es ist die zielorientierte Arbeitspersona, die Sie aktivieren, um die Reise abzuschließen.
Tipp
Vermeiden Sie die Verwendung von Funktionspersonas aus Ihrer IT-Abteilung. Diese Methode ist wahrscheinlich der schlechteste Weg, um die kennwortlose Reise zu starten. IT-Rollen sind sehr komplex und zeitaufwändig. IT-Mitarbeiter verfügen in der Regel über mehrere Anmeldeinformationen, führen eine Vielzahl von Skripts und benutzerdefinierten Anwendungen aus und sind die größten Missetäter im Hinblick auf die Kennwortnutzung. Es ist besser, diese Funktionspersonas erst in der Mitte oder am Ende der Reise anzugehen.
Überprüfen Sie Ihre Sammlung von Funktionspersonas. Identifizieren Sie zu Beginn Ihrer Reise zur Kennwortlosigkeit Funktionspersonas mit den wenigsten Anwendungen. Diese Funktionspersonas können eine ganze oder zwei Abteilungen darstellen. Diese Rollen sind die perfekten Arbeitspersonas für Ihr Proof-of-Concept (POC) oder Pilotprojekt.
Die meisten Organisationen hosten ihre POC in einer Testumgebung oder -umgebung. Wenn Sie diesen Test mit einer Strategie ohne Kennwort durchführen, kann dies schwieriger sein und mehr Zeit in Anspruch nehmen. Zum Testen in einem Labor müssen Sie zunächst die Umgebung der Zielfunktionspersona duplizieren. Dies kann je nach Komplexität der Zielfunktionspersona ein paar Tage oder mehrere Wochen dauern.
Sie möchten Labtests mit der schnellen Bereitstellung von Ergebnissen für die Verwaltung in Einklang bringen. Es ist immer von Vorteil, Fortschritte auf dem Weg zur Kennwortlosigkeit aufzuzeigen. Wenn es Möglichkeiten gibt, in der Produktion mit geringem oder keinem Risiko zu testen, kann dies für Ihre Zeitleiste von Vorteil sein.
Die Reise zur Kennwortlosigkeit besteht darin, jede einzelne Funktionspersona allen Schritten des Prozesses zu unterziehen. Es empfiehlt sich, am Anfang mit einer Funktionspersona nach der anderen zu arbeiten, um sicherzustellen, dass Teammitglieder und Projektbeteiligte sich mit dem Prozess vertraut machen. Sobald alle den Prozess kennen, können so viele Funktionspersonas gleichzeitig bearbeitet werden, wie es Ihre Ressourcen zulassen. Der Prozess sieht in etwa so aus:
Bereitstellen einer Kennwortlosen Ersetzungsoption
- Identifizieren von Testbenutzern, die die Zielarbeitspersona darstellen
- Bereitstellen von Windows Hello for Business zum Testen von Benutzern
- Überprüfen, ob Kennwörter und Windows Hello for Business korrekt funktionieren
Reduzieren der benutzerseitig sichtbaren Kennwortoberfläche
- Umfrage zur Kennwortnutzung während des Testbenutzerablaufs
- Identifizieren der Kennwortnutzung und Planung, Entwicklung und Umsetzung der Kennwortbeseitigung
- Wiederholung des Vorgangs, bis sämtliche Benutzerkennwortnutzung beseitigt wurde
- Entfernen von Kennwortfunktionen aus Windows
- Überprüfen, ob keiner der Workflows Kennwörter benötigt
Übergang in ein kennwortloses Szenario
- Sensibilisierungskampagne und Benutzerschulung
- Einschließen der verbleibenden Benutzer, die zum Arbeitspersona passen
- Überprüfen Sie, ob keiner der Benutzer der Geschäftlichen Personas Kennwörter benötigt.
- Konfigurieren von Benutzerkonten zum Verhindern der Kennwortauthentifizierung
Nachdem eine Funktionspersona erfolgreich zur Kennwortlosigkeit geführt wurde, können Sie die verbleibenden Funktionspersonas priorisieren und den Vorgang wiederholen.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für