Support & häufig gestellte Fragen.

Eine eigenständige .NET-Bibliothek, die sich über Microsofts Credential-Provider-API in den Windows-Anmelde-Bildschirm einklinkt. Statt der einzelnen Microsoft-Passwort-Kachel ergänzt CodeB eine Kachel, die NFC-Karten, RFC 6238 TOTP-Codes, X.509 PKI-Smartcards und USB-Memory-Tokens akzeptiert — und auf Wunsch die Passwort-Kachel vollständig ersetzt.

Die meisten MFA-Werkzeuge liegen oben auf einer bestehenden Passwort-Anmeldung. CodeB ist die Anmeldung. Es implementiert die ICredentialProviderCredential2-Schnittstelle und bringt einen integrierten Credential Provider Filter mit, der die Microsoft-Passwort-Kachel verbergen kann, statt nur einen zweiten Faktor daneben zu setzen. Diese Unterscheidung zählt im Audit.

Beides oder eines von beiden. CodeB unterstützt lokale Konten, Active-Directory-Konten und Microsoft-Entra-ID-Konten auf derselben Workstation. Hybride Umgebungen sind das häufigste Bereitstellungs-Muster, das wir sehen.

Zwei Erweiterungen kommen ohne Aufpreis mit der CP-V2-Lizenz: CodeB Web SSO, eine verwaltete Browser-Erweiterung für Edge und Chrome, die Benutzernamen, Passwörter und TOTP-Codes in Webanwendungen einträgt (sowie in alte Windows- oder Java-Anwendungen wie T2med), ohne die Anmeldedaten je dem Seiten-JavaScript zugänglich zu machen, und CodeB Desktop Switcher, ein tastenkürzelgesteuertes Werkzeug, das Desktop-Dateien, Symbol-Positionen und Hintergrundbilder je Monitor gegen ein sauberes Profil austauscht, bevor Sie den Bildschirm freigeben. Beide sind als eigenständige Lizenz erhältlich, wenn Sie bereits einen anderen Desktop-Anmelde-Stack einsetzen.

Der Credential Provider V2 unterstützt von Haus aus NFC-Karten auf MIFARE- und DESFIRE-Basis, RFC 6238 TOTP-Codes, X.509 PKI-Smartcards und Software-Zertifikate sowie einfache USB-Memory-Sticks für Evaluierungen. Darüber hinaus wird eine breite Auswahl an NFC-Tokens unterstützt — einschließlich nationaler Ausweise, Verkehrskarten, Bankkarten und der erweiterten DESFIRE-Familie.

Geben Sie ihnen für die Evaluierung ein USB-Memory-Token oder nutzen Sie eine beliebige RFC 6238 TOTP-App — dieselbe Identität kann sich an Windows anmelden, ob die Karte vorhanden ist oder nicht.

Ja. Ein häufiges Muster ist eine primäre NFC-Karte plus eine TOTP-App auf einem Telefon als Backup für die Tage, an denen die Karte zu Hause vergessen wird. Es entstehen keine zusätzlichen Lizenzkosten für weitere Tokens pro Identität.

Beide Muster werden gleichwertig unterstützt, und in der Praxis verteilen sich unsere Kunden ungefähr 50/50 zwischen beiden.

• Muster A — zweiter Faktor. Das vorhandene Windows-Passwort behalten und die NFC-Karte oder den TOTP-Code als zweiten Faktor obendrauf ergänzen. Mehrfaktor-Anmeldung.
• Muster B — passwortlos. Das Passwort vollständig weglassen und die NFC-Karte oder den TOTP-Code allein die Anmeldung tragen lassen.

Dieselbe Software, dieselben Tokens; Sie wechseln per Richtlinie zwischen beiden. Regulierte Umgebungen, in denen das Passwort ein bekanntes Risiko ist, gehen meist gleich passwortlos; Umgebungen mit etablierter Passwort-Hygiene ergänzen CodeB häufig zuerst als zweiten Faktor und migrieren später auf passwortlos. Wir helfen Ihnen bei der Entscheidung für Ihre Umgebung.

Der CodeB Credential Provider V2 unterstützt jede Windows-Edition ab Windows 8, einschließlich Windows 8.1, 10, 11 und die entsprechenden Windows-Server-Releases bis Server 2025. Systeme vor Windows 8 sind im aktuellen Credential-Provider-V2-Build nicht im Umfang.

CodeB wird als Kommandozeilen-Installer ausgeliefert. Ein MSI-Paket ist auf Anfrage verfügbar. Der Credential Provider konfiguriert sich über Registry-Richtlinien, sodass jedes Werkzeug, das in die Registry schreiben kann — Group Policy, SCCM, Ansible, PowerShell DSC, handgeschriebene .reg-Dateien — ihn ausrollen kann. Wir liefern derzeit keine eigenen ADMX-Vorlagen mit; die Registry-Schlüssel sind kurz und in der Installations-Anleitung dokumentiert.

Ja. Ein separates Kommandozeilen-Werkzeug, CodeB Admin CLI (CodeBAdminCLI.exe), automatisiert alles, was die GUI-Helfer tun: eine Kartenseriennummer einem Active-Directory-Benutzer als zweiten Faktor zuordnen, verschlüsselte Anmeldedaten in AD oder lokal als Soft-Token speichern, Zuweisungen auflisten und Karten sperren. Es nimmt /user, /domain, /serial und /pin (plus /password für die Anmeldedaten-Speicherung), sodass eine CSV plus eine PowerShell-Schleife einen kompletten Rollout abdeckt. Download unter www.aloaha.com/download/CodeBAdminCLI.zip. Vollständige Referenz und Schalter auf der Produkte-Seite. Funktioniert sowohl gegen lokale Konten als auch gegen AD. Bei korrekt delegierten AD-Berechtigungen sind keine lokalen Administratorrechte erforderlich.

Keine Internetverbindung und kein Cloud-Dienst sind erforderlich. Jede Komponente — der Credential Provider, das Audit-Log und der Web-SSO-Endpunkt — läuft auf Ihrer eigenen Infrastruktur. Es gibt keine SaaS-Steuerebene, gegen die authentifiziert würde. Das Produkt wird regelmäßig in luftgetrennten OT- und klinischen Netzen eingesetzt, in denen überhaupt keine Internetverbindung verfügbar ist.

In einem typischen gehärteten Setup wird der Microsoft Password Provider per integriertem CodeB Credential Provider Filter verborgen, nicht direkt deaktiviert. Den Microsoft Password Provider system-weit zu deaktivieren kann unerwünschte Nebenwirkungen auf Windows-Interna haben; ihn per Filter zu verbergen entfernt die Kachel sauber aus der LogonUI, ohne darunter etwas anzufassen. Derselbe Filter verhindert, dass andere Provider sich der LogonUI gegenüber anbieten.

Ja — und in einzigartiger Weise. Der Credential Provider V2 ist in 100 % Managed .NET Code geschrieben, sodass er seine Kryptografie über die Windows-CNG-Schicht abwickelt. Wenn Sie die Group-Policy-Einstellung „Systemkryptografie: Konformität mit FIPS-Algorithmus für Verschlüsselung, Hashing und Signatur erzwingen“ aktivieren, erzwingt Windows selbst FIPS 140-2 gegen jeden Krypto-Aufruf, den der Credential Provider tätigt.

Jeder andere uns bekannte Windows-Credential-Provider ist in nativem Code mit eigenem Krypto-Pfad gebaut, der über diese Richtlinie nicht erzwungen werden kann. Wenn Sie in einer FIPS-pflichtigen Umgebung arbeiten, lassen Sie mit CodeB einen einzigen GPO-Schalter aktivieren und das Betriebssystem garantiert die Konformität — ohne unterschriebene Attestierungs-Schreiben.

Zwei Optionen: eine Dauerlizenz zu € 49,99 einmalig pro Lizenz oder ein Jahresabonnement zu € 19,99 pro Lizenz pro Jahr. Dauerlizenzen können optional Wartung zu 20 % des Kaufpreises pro Jahr ergänzen, die Versions-Updates und weiteren Support abdeckt. Lizenzen werden nach dem höheren Wert aus Anwendern bzw. Maschinen gezählt. Mengenrabatte und Projekt-Konditionen auf Anfrage — siehe die Preise-Seite.

E-Mail-Support ist bei jeder CodeB-Lizenz enthalten — Dauerlizenz oder Jahresabonnement, großer Kunde oder einzelner Sitz — solange Sie das Produkt nutzen. Keine Gewährleistungs-Klippe, keine Premium-Support-Stufe, keine Einzelfall-Gebühren. Der optionale Wartungsvertrag auf Dauerlizenzen (20 % des Kaufpreises pro Jahr) deckt Versions-Updates ab, nicht Support. Beide Lizenztypen können um einen namentlich benannten Spezialisten in Ihren Rollout-Calls erweitert werden — separat als professionelle Dienstleistung kalkuliert.

Ja — jede Funktion ist auf jeder Lizenz freigeschaltet, sodass ein kleiner Pilot-Kauf exakt dieselbe Software wie ein produktiver Rollout testet. Wir empfehlen Kunden meist, mit einer kleinen Anzahl Jahresabonnement-Lizenzen für den Pilot zu starten und nach Validierung der Architektur auf Dauerlizenzen oder ein erweitertes Abonnement umzustellen.