Google Authenticator OTP zur Windows-Anmeldung verwenden

Systemanforderungen: Windows 7/8/10/2008/2012

Der Zugriff auf Ihren Computer oder Benutzeraccount ist für gewöhnlich passwortgeschützt. Manchmal jedoch reicht dieser Schutz nicht aus, insbesondere wenn ihre Daten ein hohes Maß an Vertraulichkeit beanspruchen. Schließlich wollen Sie möglichen Angreifern nicht Ihr Sicherstes – ihre Daten – anvertrauen. Aus diesem Grund unterstützt Rohos Logon Key Google Authenticator und Yubikey HOTP. Ihre Windows-Anmeldung findet nun im Hochsicherheitsmodus auf der Basis von Einmalkennwörtern und HOTP-Codes statt.

Wie benutze ich Google Authenticator mit meinen Smartphone für die Windows-Anmeldung?

Falls Sie ein Handy mit Android, iOS oder ein BlackBerry besitzen, haben Sie die Möglichkeit Google Authenticator zu verwenden. Schützen Sie Ihren Computer mit sicheren Einmalkennwörtern – Einmalkennwörter werden von einem bestimmten Gerät oder Programm generiert und sind nur zu diesem Zeitpunkt einmalig gültig. Weiterhin gibt es keine Möglichkeit dieses Passwort festzuhalten oder ausfindig zu machen. Sollten Sie versuchen das selbe Passwort nach dem zuvor bestimmten Zeitintervall einzugeben, wird dieses abgelehnt. Jedes Mal wenn Sie sich in Ihren Computer einloggen, müssen Sie ein Einmalkennwort von ihrem Handy anfordern. Als Teil von Rohos Logon Key dient Google Authenticator als elektronischer Anmeldeschlüssel für Ihren PC. Sie werden Ihr geheimes Passwort immer bei sich tragen – mit Ihrem Handy. Außerdem werden Sie Ihr Windows-Passwort nie manuell eingeben müssen, das Programm erledigt das für Sie. Bequem und verlässlich.

Betrachten wir als Beispiel ein Handy mit Android und die Einrichtung von Rohos Logon Key für Windows mithilfe eines Einmalkennworts von Google Authenticator.

1. Stellen Sie sicher, dass Sie die Google Authenticator App auf Ihrem Handy installiert haben. (Googles QR Barcode Scanner mag zusätzlich für einen QR Scan erforderlich sein);

2. Sobald Sie die App auf Ihrem Handy installiert haben, können Sie Rohos Logon Key auf Ihrem Computer einrichten.

  • Installieren Sie die neueste Version Rohos Logon Key v3.1 für Windows.
  • Öfnnen Sie das Dialogfenster Rohos Logon > Optionen und wählen Sie ein Gerät zur Authentifizierung aus der Liste mit Google Authenticator (OATH) als Sicherheitsschlüssel. Klicken Sie dann auf OK.
  • Öffnen Sie das Dialogfenster Einen Schlüssel festlegen. Hier können Sie sich den QR-Code anzeigen lassen und in die Zwischenablage kopieren oder einen HOTP Schlüssel generieren, um Yubikey einzurichten.
  • Wählen Sie „Google Authenticator“ und klicken Sie auf QR-Code anzeigen.

Rohos Logon Key and Google Authenticator setup

  • Öffnen Sie die Google Authenticator App auf Ihrem Handy und wählen Sie „Barcode scannen“. Halten Sie Ihr Handy dann vor den Monitor, um den QR Code zu erfassen.
  • Wahlweise können Sie Ihr auch Ihr momentanes Windows-Passwort eingeben, falls Sie dieses vollständig durch einen OTP-Code ersetzen möchten. Unter manchen Umständen ist diese Option jedoch weniger sicher. Falls Sie das Passwortfeld freilassen, müssen Sie Ihren Benutzernamen, das Windows-Kennwort sowie einen OTP-Code zur Windows-Anmeldung verwenden.
  • Klicken Sie auf OTP-Login aktivieren

Fertig! Von jetzt an funktioniert Ihr Handy wie ein Zugangsschlüssel zu Ihrem Betriebssystem.

Das bedeutet, Ihr Handy funktioniert wie ein digitaler Schlüssel für die Windows-Anmeldung und die Entsperrung des Desktops.

Google Authenticator liefert einen eigenen Namen für jeden PC und erkennt Rohos Logon, sodass Sie Ihr Handy als doppelten Schlüssel für jeden Ihrer Computer benutzen können – ganz gleich, ob Sie mit Ihrem Arbeitscomputer, Ihrem privaten Laptop oder einem beliebigen anderen PC arbeiten.

Der Handy-Screenshot zeigt die Einrichtung von Google Authenticator zur Anmeldung an zwei verschiedenen Computern. Um Verwechslungen zu vermeiden steht der Name jedes Computers über dem jeweiligen geheimen Schlüssel. Rechts von dem Einmalkennwort gibt es einen 30-Sekunden Timer, der die Zeit für die Passworteingabe anzeigt. Sobald das Zeitintervall abgelaufen ist, wird ein neues Passwort generiert.

3. Sichere 3-Faktor-Authentifizierung

Sie können sich immer noch mithilfe Ihres Windows-Passworts oder durch Anklicken des Rohos Logon Key Icon (also per Google Authenticator Einmalkennwort) bei Windows anmelden.

Falls Sie Ihre Anmeldung bei Windows sicherer gestalten möchten, sollten Sie die 3-Faktor-Authentifizierung in Rohos einschalten.

Öffnen Sie Rohos Logon Key > Dialogfenster Optionen und kreuzen Sie Anmeldung nur per USB-Schlüssel an. Diese Option aktiviert die 2-Faktor-Authentifizierung für alle oder bestimmte ausgewählte Benutzer.

Um sich nun anzumelden, müssen Sie ein Einmalkennwort und Ihr Windows-Passwort eingeben. Niemand anders hat mehr die Möglichkeit sich nur mit Ihrem Passwort anzumelden.

4. Falls Sie die Option „Anmeldung nur per USB-Stick“ aktiviert haben, sollten Sie auch die Option einer „Notanmeldung“ einrichten, damit Sie sich auch in Windows einloggen können, sofern Ihr Handy nicht verfügbar ist.

Wir empfehlen, dass Sie die Zwei-Faktor-Authentifizierung zur Anmeldung bei Windows verwenden. In diesem Falle werden Sie bei im Anmeldefenster von Windows sowohl Ihr Standardpasswort, als auch den generierten Einmalschlüssel eingeben müssen. Die Zwei-Faktor-Authentifizierung bietet Ihnen doppelten Schutz und hilft somit neugierige und ungewollte Personen von Ihren Daten fernzuhalten. Oder es hält zu gerissene und technikerfahrene Kinder von Ihren persönlichen Informationen ab.

Hinweis: Vergessen Sie nach der Einrichtung von Google Authenticator nicht ihr Handy zu Hause. Sollten Sie Ihr Handy nicht bei sich tragen, können Sie sich nur mittels der Notfallanmeldung von Rohos Logon Key in Ihren Computer einloggen. Das Einmalkennwort wird selbst beim Hochfahren im abgesicherten Modus verlangt, um Ihren Computer davor zu schützen, gehackt zu werden.

Wie benutze ich Yubikey HOTP für die Windows-Anmeldung?

Sie benötigen Yubikey 2.0 mit einem freien Steckplatz und das Yubikey Personalization Tool.

Zunächst müssen Sie Rohos Logon Key einrichten:

Klicken Sie auf Optionen und wählen Sie Google Authenticator (OATH).

1. Öffnen Sie Rohos > Einen Schlüssel eintragen

Falls Google Authenticator auf Ihrem Computer zuvor mit Yubikey installiert war, klicken Sie auf Anmeldung per Einmalkennwort deaktivieren.

2. Wählen Sie „Yubikey HOTP“ und klicken Sie auf „geheimen Schlüssel für Yubikey kopieren“. Das speichert den 20 Bytes großen Hexadezimal-String in der Zwischenablage. Dieser sollte später im Yubikey Personalization Tool verwendet werden.

3. Klicken Sie auf Anmeldung per Einmalkennwort aktivieren

Lassen Sie uns nun Yubikey mit HOTP konfiguieren.

Einen zweiten HOTP Yubikey-Slot mit dem Yubikey Personalization Tool einrichtenl

Schließen Sie den Yubikey am PC an und öffnen Sie das Yubikey Personalization Tool::

  1. Klicken Sie auf „OATH – HOTP“ > Erweitert;
  2. Wählen Sie den freien Konfigurationsslot. Standardmäßig ist Slot 2 frei;
  3. Stellen Sie sicher, dass die HOTP Länge auf 6 eingestellt ist;
  4. Deaktivierten Sie die Option OATH token Identifier;
  5. Klicken Sie auf das Feld „geheimer Schlüssel“ und fügen Sie den zuvor in Rohos kopierten Schlüssel aus der Zwischenablage ein (Strg+A und Strg+V). Falls lediglich 20 Zeichen kopiert wurden, kopieren Sie den Schlüssel erneut in Rohos Logon Key > Dialogfenster USB-Schlüssel eintragen.
  6. Klicken Sie auf „Konfiguration speichern“

Der zweite Slot Ihres Yubikey ist nun bereit, um zur Windows-Anmeldung verwendet zu werden. Sie müssen Ihren PC neu starten und Rohos Logon Key im Anmeldeschirm auswählen. Platzieren Sie Ihren Cursor im Feld für das Einmalkennwort und halten Sie den Yubikey gedrückt.

Rohos Logon Key akzeptiert beide Typen an HOTP Codes – ob mit oder ohne OATH Identifier.

cc0062465807101069 oder

101069

Die letzten 6 Stellen werden geprüft

Einmalkennwörter per SMS ans Handy senden

Falls Sie die Google Authenticator App nicht auf Ihrem Handy nutzen können, haben Sie die Möglichkeit sich von Rohos Einmalkennwörter per SMS an Ihr Handy schicken zu lassen.

Einrichtung von Kennwortlieferung per SMS:

  1. Bitte wählen Sie einen der verfügbaren SMS-Gateway Anbieter übers Internet in Ihrem Land;
  2. Stellen Sie die SMS Gateway HTTP URL in Rohos ein. Rohos > Optionen > Google Auth, > Optionen…
  3. Ändern Sie die URL mit den Paramtern %phone% und %text% ab

Beispiel einer URL:
innosend.de/gateway/sms.php?id=USERNAME&pw=PASSWORD&text=%text%&empfaenger=%phone%&type=2

In diesem Beispiel werden %phone% und %text% durch die Telefonnummer des Benutzers und den Text des Einmalkennworts ersetzt.

4. Klicken Sie auf „Testen“, um zu prüfen ob alles funktioniert.

Um es Rohos zu ermöglichen, die Lieferung von SMS erfolgreich festzustellen, ändern Sie bitte einen Parameter in der Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Rohos\OtpModule
“SMS-Gate-Success-Value” = “OK” or “Success”

Falls Rohos diesen String in dem HTTP-String vorfindet, wird es den Benutzer über eine erfolgreiche Zustellung der SMS informieren.

Was sind die Sicherheitsvorteile von Google Authenticator für die Windows-Anmeldung?

  • Zwei-Faktor-Authentifizierung – Ein höheres Level an Sicherheit bei der Windows-Anmeldung:
  • Das Windows-Passwort und ein Hardware Schlüssel wird zur Anmeldung benötigt.
  • Zusätzliche Treiber oder Software-Downloads sind nicht notwendig, um YubiKey zu verwenden.
  • Bei Google Authenticator wird keine Verbindung zum Computer und somit kein USB-Port benötigt.
  • Für den Netzadministrator besteht die Möglichkeit, sich auf reguläre Art und Weise mit einem gewöhnlichen Passwort anzumelden.
  • Sichere 2-Faktor-Anmeldung an einem Windows Remote-Desktop

Rohos Logon Key Download…

Dieses Update ist bis April für alle registrierten Benutzer von Rohos Logon Key kostenlos, ab dann ist eine Zahlung erforderlich. Falls Ihnen Rohos gefällt und Sie uns Ihr Feedback mitteilen möchten, kontaktieren Sie uns über den Hilfebereich und erhalten Sie einen kostenlosen Lizenzschlüssel.