Schluss mit Passwörtern? Windows Hello for Business und die Alternativen im Vergleich
Passwörter sind das schwächste Glied in der Sicherheitskette – das ist keine neue Erkenntnis, aber ein Problem, das in den meisten Unternehmen noch immer ungelöst ist. Phishing, Credential Stuffing und Pass-the-Hash-Angriffe nutzen genau das aus. Selbst klassische MFA (TOTP, SMS, Push) schützt nicht vollständig, wenn das Passwort weiter im Spiel ist.
Mit Windows Hello for Business (WHfB), FIDO2 Security Keys und Passkeys stehen heute Technologien bereit, die das Passwort strukturell ersetzen – nicht nur ergänzen. Dieser Beitrag gibt einen Überblick über die relevanten Verfahren und hilft bei der Entscheidung, was für welchen Anwendungsfall sinnvoll ist.
Windows Hello for Business – wie es funktioniert
WHfB ersetzt das Passwort durch eine lokale Zwei-Faktor-Authentifizierung direkt auf dem Gerät. Die zwei Faktoren sind:
- Gerätebesitz – das Gerät selbst, gesichert durch das TPM (Trusted Platform Module)
- PIN oder Biometrie – etwas, das nur der Nutzer kennt oder ist
Das Entscheidende: Das Passwort wird nie über das Netzwerk übertragen. Die Authentifizierung basiert auf asymmetrischer Kryptografie – ein privater Schlüssel ist im TPM gespeichert und verlässt das Gerät physisch nie. Beim Login signiert das TPM eine Challenge; der Identitätsprovider (Entra ID oder on-premises AD) verifiziert die Signatur mit dem öffentlichen Schlüssel. Kein Passwort, kein Hash, kein übertragbares Geheimnis.
Deployment-Modelle im Überblick
WHfB kennt im Wesentlichen drei Deployment-Modelle, die sich nach Umgebung und Infrastruktur unterscheiden:
Cloud-Only
Für Umgebungen, die vollständig in der Cloud betrieben werden – kein on-premises Active Directory, keine lokale PKI.
- Voraussetzungen: Entra ID, Geräte sind Entra-joined oder Hybrid-joined, Verwaltung via Intune
- Authentifizierung erfolgt ausschließlich gegen Entra ID
- Einfachstes Modell, geringsteer Infrastrukturaufwand
- Empfohlen für: reine Cloud-Umgebungen, neue Tenants ohne Legacy-AD
Hybrid – Cloud Kerberos Trust (aktueller Microsoft-Standard)
Das empfohlene Modell für hybride Umgebungen mit bestehendem on-premises Active Directory. Microsoft hat dieses Modell als Nachfolger von Key Trust eingeführt und empfiehlt es ausdrücklich für alle neuen Hybrid-Deployments.
- Voraussetzungen: Entra ID + on-premises AD, kein PKI erforderlich, Azure AD Kerberos aktiviert
- WHfB-Credentials werden in Entra ID ausgestellt; der Kerberos-Ticket-Aussteller ist Azure AD Kerberos (kein lokaler KDC für die initiale Authentifizierung notwendig)
- Kein Domain Controller muss WHfB-spezifische Konfiguration haben – der DC stellt nur klassische Kerberos-Tickets für den Ressourcenzugriff aus, sobald der Nutzer angemeldet ist
- Vorteil gegenüber Key Trust: kein gesondertes DC-Update erforderlich, kein ROCA-Problem, einfacheres Lifecycle-Management
- Empfohlen für: alle neuen Hybrid-Deployments – dies ist heute der de-facto-Standard
Hybrid – Key Trust (nicht mehr empfohlen)
Das ältere Hybrid-Modell, das ohne PKI auskommt, aber direkte Anforderungen an die Domain-Controller-Konfiguration stellt.
- Voraussetzungen: Entra ID + on-premises AD, DCs müssen WHfB-fähig sein (Windows Server 2016+, bestimmte Updates), kein PKI
- Die WHfB-Credentials werden als Key-Objekte im AD gespeichert; DCs müssen den öffentlichen Schlüssel kennen und validieren können
- Bekannte Probleme: DC-seitige Anforderungen sind komplex, ROCA-Schwachstelle in bestimmten TPM-Generationen, schlechteres Offline-Verhalten als Cloud Kerberos Trust
- Microsoft empfiehlt, Key Trust nicht mehr neu einzusetzen und bestehende Key-Trust-Deployments auf Cloud Kerberos Trust zu migrieren
- Nur noch sinnvoll als: Bestandskonfiguration, die noch nicht migriert wurde – kein Grund für einen Neuaufbau
Hybrid – Certificate Trust (nur in spezifischen Ausnahmefällen)
Das PKI-basierte Hybrid-Modell, bei dem WHfB-Credentials als Zertifikate ausgestellt werden.
- Voraussetzungen: vollständige PKI-Infrastruktur (ADCS), Entra ID + on-premises AD, Certificate Enrollment-Integration
- Nutzerzertifikate werden über ADCS ausgestellt und im Smartcard-Emulationsmodus verwendet
- Ermöglicht Szenarien, die kein Entra ID erfordern (z. B. reine on-premises Umgebungen ohne Internetanbindung, Air-Gap-Szenarien) oder die aus regulatorischen Gründen auf Zertifikate angewiesen sind
- Höchster Infrastrukturaufwand aller Modelle, PKI muss betrieben und gepflegt werden
- Microsoft empfiehlt Certificate Trust nicht als Standardweg – der Betrieb einer PKI nur für WHfB ist unverhältnismäßig aufwändig
- Sinnvoll nur wenn: PKI bereits vorhanden und für andere Zwecke betrieben wird, regulatorische Anforderungen Zertifikate erzwingen, oder das Szenario keine Entra ID-Anbindung erlaubt
Was WHfB kann – und was nicht
Stärken:
- Phishing-resistent by design (kein übertragbares Geheimnis)
- Pass-the-Hash und Credential Stuffing greifen nicht
- MFA ist architektonisch verankert, kein Add-on
- Offline-Anmeldung funktioniert (TPM-Signatur lokal)
- Keine Zusatzkosten für M365-Kunden
Grenzen:
- Funktioniert nur auf Windows-Geräten mit TPM
- Gerätegebunden – kein Roaming ohne zusätzliche Lösung
- Kiosk- und Shared-Device-Szenarien sind eingeschränkt
- macOS, Linux, iOS und Android: nicht abgedeckt
Die Alternativen im Überblick
YubiKey / FIDO2 Security Keys
Physische Hardware-Keys (YubiKey, Token2, FEITIAN) implementieren den FIDO2/WebAuthn-Standard. Der private Schlüssel wird on-device generiert und verlässt den Key nie. Entsperrung per PIN oder Touch – je nach Konfiguration.
Warum interessant: Plattformunabhängig. Funktioniert auf Windows, macOS, Linux, iOS und Android. Kein TPM im Gerät notwendig. Entra ID unterstützt FIDO2 nativ. Ideal für Admin-Accounts und Shared Workstations.
Was man wissen sollte: Der Key kann verloren gehen oder vergessen werden. Lifecycle-Management (Provisionierung, Verlust, Ersatz) muss mitgedacht werden. Pro Key ca. 50–80 EUR. YubiKey 5 speichert ab Firmware 5.7 bis zu 100 FIDO2-Credentials (ältere Firmwares: max. 25).
Microsoft Authenticator (Passkey)
Seit 2024 unterstützt die Microsoft Authenticator App FIDO2-Passkeys direkt. Der private Schlüssel liegt im Secure Enclave des Smartphones, Entsperrung per Biometrie oder Smartphone-PIN. Für M365-Umgebungen die günstigste Option für echte Passwortlosigkeit.
Warum interessant: Kein separates Gerät nötig, keine Zusatzlizenz, nahtlose Entra ID Integration. Phishing-resistent.
Was man wissen sollte: Smartphone-Verlust = sofortiger Zugriffsverlust ohne Backup-Methode. BYOD-Szenarien erfordern klare MDM/MAM-Policies. Der Passkey-Support in der Authenticator App ist noch relativ jung – Reifegrad im Piloten prüfen.
Duo Security
Duo (Cisco) ist eine cloud-basierte MFA/Zero-Trust-Plattform. Authentifizierung per Push, TOTP oder Hardware-Token. Integration via RADIUS, SAML oder API – auch in Legacy-Systeme.
Warum interessant: Breiteste Plattformunterstützung, auch für Legacy-Systeme. Device Health Check und risikobasierte Policies inklusive. Schnell zu deployen.
Was man wissen sollte: Duo ist kein passwortloses Verfahren – es ist Passwort + MFA. Push-Fatigue-Angriffe sind möglich. Monatliche Lizenzkosten (ab ca. 3 USD/User/Monat). Cloud-Abhängigkeit.
Klassisches Passwort + MFA
Der heutige Standard in den meisten Unternehmen. Sicherer als Passwort allein – aber nicht phishing-resistent. Adversary-in-the-Middle-Angriffe können TOTP-Codes und Push-Bestätigungen abfangen.
Sinnvoll als: Übergangslösung, Fallback für Legacy-Systeme oder kurzfristige Absicherung ohne Infrastrukturumbau.
Vergleichsmatrix auf einen Blick
✔ = vollständig unterstützt · ~ = eingeschränkt · ✘ = nicht unterstützt
Sicherheit
| Kriterium | WHfB | YubiKey / FIDO2 | Duo | MS Authenticator | PW + MFA |
|---|---|---|---|---|---|
| Phishing-resistent | ✔ | ✔ | ✘ | ✔ | ✘ |
| Passwortlos | ✔ | ✔ | ✘ | ✔ | ✘ |
| TPM erforderlich | ja | nein | nein | nein | nein |
Plattformunterstützung
| Plattform | WHfB | YubiKey / FIDO2 | Duo | MS Authenticator | PW + MFA |
|---|---|---|---|---|---|
| Windows | ✔ | ✔ | ✔ | ✔ | ✔ |
| macOS / Linux | ✘ | ✔ | ✔ | ~ | ✔ |
| iOS / Android | ✘ | ~ | ✔ | ✔ | ✔ |
Betrieb & Kosten
| Kriterium | WHfB | YubiKey / FIDO2 | Duo | MS Authenticator | PW + MFA |
|---|---|---|---|---|---|
| Offline-Fähigkeit | ✔ | ✔ | ✘ | ✘ | ~ |
| Legacy-Integration | ✘ | ~ | ✔ | ~ | ✔ |
| Shared Workstations | ✘ | ✔ | ✔ | ✘ | ✔ |
| Hardwarekosten | – | ~50–80 € / Key | – | – | – |
| Lizenzkosten (SaaS) | – | – | ja | – | – |
Welches Verfahren für welchen Anwendungsfall?
WHfB ist die erste Wahl für Wissensarbeiter auf firmenverwalteten Windows-Geräten mit TPM – also den typischen M365-Umgebungen. Keine Zusatzkosten, nahtlose Integration, maximale Sicherheit. Für Hybrid-Umgebungen gilt: Cloud Kerberos Trust einsetzen, Key Trust nicht mehr neu aufbauen.
YubiKey/FIDO2 ergänzt WHfB ideal für privilegierte Accounts (Admins, PAM) und Szenarien mit gemischten Betriebssystemen oder Shared Workstations.
MS Authenticator Passkey ist die günstigste Option für phishing-resistente Authentifizierung ohne Hardware – gut für Unternehmen, die noch keinen Hardware-Key-Rollout planen.
Duo überzeugt in heterogenen Umgebungen mit Legacy-Systemen, wo schnelle, breite Abdeckung wichtiger ist als echte Passwortlosigkeit.
PW + MFA bleibt sinnvoll als Übergangslösung und Fallback – sollte aber mittelfristig durch eines der passwortlosen Verfahren abgelöst werden.
In der Praxis ist eine Kombination oft am effektivsten: WHfB für Standard-Nutzer, YubiKey für Admins, MS Authenticator als Fallback für Web-Anmeldungen von Fremdgeräten.
Fazit
Die Technologie für passwortlose Authentifizierung ist heute produktionsreif. WHfB, FIDO2 und Passkeys sind keine Zukunftsmusik mehr – sie sind in Entra ID nativ integriert und lassen sich schrittweise einführen.
Für Hybrid-Umgebungen ist die Empfehlung klar: Cloud Kerberos Trust ist der aktuelle Microsoft-Standard und sollte für alle Neudeployments der einzige Weg sein. Key Trust ist ein Auslaufmodell, Certificate Trust bleibt auf Ausnahmefälle beschränkt.
Der entscheidende erste Schritt: TPM-Verfügbarkeit im Gerätepark prüfen, Deployment-Modell festlegen (für Hybrid fast immer Cloud Kerberos Trust) und mit einer Pilotgruppe starten. Der Rest ergibt sich.