Jedes Produkt auf der Shortlist löst einen Teil des Windows-Anmelde-Problems und mutet Ihnen zu, mit dem Rest zu leben. Microsoft zieht Sie in die Cloud. Duo zieht Sie in einen US-SaaS. Yubico bindet Sie an eine einzelne Hardware. HYPR braucht ein Telefon in jeder Hosentasche. CodeB liefert alle vier harten Anforderungen in einem Produkt. Diese Seite ist die Matrix, die ehrlichen Lücken und die Daten.
Diese vier sind die, die in Evaluierungen am häufigsten kippen. Haken Sie sie bei jedem Produkt auf Ihrer Shortlist ab, und das Feld verengt sich schnell.
CodeB wird als Software ausgeliefert, die vollständig auf Ihrer Infrastruktur läuft. Keine SaaS-Steuerebene, keine Telemetrie-Pipeline, kein Lizenzserver-in-der-Cloud. Air-Gap-fähig vom ersten Tag, zertifiziert durch jahrelange Kundeneinsätze in OT-Netzen.
MIFARE Classic, MIFARE DESFIRE EV1 / EV2 / EV3, nationale Ausweise, Verkehrskarten, plus RFC 6238 TOTP, X.509 PKI-Smartcards und USB-Tokens — zeitgleich, auf derselben Maschine, per Richtlinie pro Anwender wählbar. Eine Bindung an einen einzelnen Hardware-Hersteller ist nicht Voraussetzung.
Weil der Credential Provider zu 100 % Managed .NET Code ist und über Windows CNG läuft, aktivieren Sie die Standard-Group-Policy „FIPS-konforme Algorithmen verwenden“ — und Windows selbst erzwingt sie gegen jeden Krypto-Aufruf, den CodeB tätigt. Native-Code-Wettbewerber lassen sich auf diese Weise nicht erzwingen.
Dieselbe Software deckt Windows 8 / 8.1 / 10 / 11 und Windows Server 2012R2 bis 2025 ab, auf x86 und x64. Die meisten modernen Wettbewerber beginnen erst bei Windows 10 oder 11 — und lassen Ihre klinischen PCs, Fertigungs-Terminals und Maschinen-Steuerungen ungelöst.
Sechs realistische Alternativen in den Zeilen; was jede in den Spalten liefert. Recherchiert aus der öffentlichen Dokumentation jedes Anbieters, Stand Mai 2026. Wir aktualisieren diese Seite quartalsweise — wenn Sie etwas Unrichtiges entdecken, schreiben Sie uns an info@codeb.io.
| Funktion | CodeB CP V2 | MS Windows Hello for Business | Cisco Duo for Windows Logon | Yubico Login for Windows | HYPR True Passwordless | RSA SecurID Agent | AuthLite |
|---|---|---|---|---|---|---|---|
| Läuft vollständig On-Premises, ohne Cloud | Ja | Nein Entra ID erforderlich | Teilweise Cloud-gebunden | Ja lokaler Modus | Nein SaaS | Ja On-Prem Auth Mgr | Ja |
| Air-Gap-fähig | Ja | Nein | Nein | Ja manuelle Bereitstellung | Nein | Ja | Ja |
| Keine separate Server-, Appliance- oder SaaS-Komponente nötig | Ja | Nein Entra Connect + Intune / ADFS | Nein Duo Cloud | Optional YubiOn für zentrales Mgmt | Nein SaaS | Nein Auth Manager Appliances | Teilweise erweitert AD-Schema |
| Zentral durch Admin provisionierbar (nicht durch Endanwender) | Ja Admin CLI + AD-Attr. | Nein Anwender enrollt selbst | Ja Duo Cloud | Manuell / YubiOn | Ja HYPR Cloud | Ja Auth Manager | Ja AD-Attr. |
| NFC-Kontaktloskarten (MIFARE / DESFIRE) |
Breit | Nein | Nein | nur YubiKey | Nein | Eingeschränkt | Nein |
| TOTP (RFC 6238) | Ja | Nein | Ja | Ja OATH-TOTP | Nein | Ja | Ja |
| PKI-Smartcards (X.509) | Ja | Ja | Nein | Ja PIV | über Integrationen | Ja | Nein |
| USB-Memory-Stick als Token | Ja | Nein | Nein | Nein | Nein | Nein | Nein |
| FIPS 140-2 per Windows-GPO erzwingbar | Ja Managed Code | Teilweise | FIPS-Modus optional | FIPS-YubiKey-Hardware | Nein | Token-seitig | Nein |
| Windows 8 → Server 2025 unterstützt | Ja | nur Win 10+ | ältere Versionen rückläufig | Win 10+ | Win 10/11 | Ja | Ja |
| Lokale + AD + Entra-ID-Konten auf derselben Workstation | Ja | Entra-zentrisch | AD-zentrisch | lokal eingeschränkt | Nein | Ja | AD-zentrisch |
| Dieselbe Software unterstützt 2FA UND vollständig passwortlos | Beides, per Richtlinie | passwortlos-zuerst | 2FA-zuerst | Ja | passwortlos-zuerst | 2FA-zuerst | 2FA-zuerst |
| Ersetzt / verbirgt die Microsoft-Passwort-Kachel | Ja | Ja | Nein, obendrauf | Optional | Ja | Ja über Filter | Nein, obendrauf |
| Java- / Legacy-Desktop-App-Auto-Fill (T2med-Muster) | Ja via Web SSO | Nein | Nein | Nein | Nein | Nein | Nein |
| Dauerlizenz-Option | Ja €49,99 | Abonnement | Abonnement | Hardware-Kauf | SaaS | Hybrid | Ja |
| EU-betriebener Anbieter, selbst gehostete Identitäts-Infrastruktur | Ja Aloaha, Malta | USA | USA | Yubico Schweden, US-Tochter | USA | USA | USA |
| Pro-Anwender-Zuordnung auf Sammelkonten | Ja NFC-Karte gestapelt über dem geteilten Konto; jede Anmeldung und jedes Entsperren mit Karten-Token im Ereignisprotokoll | Nein Hello ist pro Anwender, pro Gerät — das Modell setzt eine Identität pro Konto voraus | Teilweise 2FA-Prompt löst pro Anmeldung aus, ist aber an das Windows-Konto gebunden, nicht an die Person | Nein YubiKey an Anwender-Konto gebunden | Nein passwortlose Identität = das Konto selbst | Teilweise RSA-Token wird dem Token-Inhaber zugeordnet, nicht der geteilten Windows-Sitzung | Teilweise YubiKey-Seriennummer im Log; kein Office-Author-Tagging |
| Office-Author-Tagging auf Sammelkonten (Karten-ID am Word/Excel/PowerPoint-Author) | Ja z. B. username (EA35CF34) — durchgängig in Office-Änderungen, Kommentaren und Metadaten; korreliert mit dem Windows-Anmelde-Event |
Nein | Nein | Nein | Nein | Nein | Nein |
OK = unterstützt · Teilweise = mit Einschränkungen verfügbar · Nein = nicht unterstützt. Zuletzt geprüft am 21. Mai 2026. Quellen: öffentliche Dokumentation der jeweiligen Anbieter. Etwas Unrichtiges entdeckt? info@codeb.io.
Kurz, sachlich, ohne Häme. Wenn Sie bereits einen dieser Anbieter evaluieren, sagt Ihnen die dritte Zeile, wann CodeB die bessere Antwort ist.
Im Lieferumfang der Windows-Lizenz enthalten. Phishing-resistent. Polierte UX. Im Betriebssystem integriert.
Jede wirklich produktive Bereitstellung — Cloud Kerberos Trust, Certificate Trust, Key Trust — benötigt Entra Connect, Entra ID und entweder Intune oder ADFS. Laut Microsoft-Dokumentation unterstützt Hello keine zentrale Admin-Vorprovisionierung: Das Enrollment geschieht pro Gerät, vom Endanwender bei der ersten Anmeldung. Unternehmenskunden nennen uns dies als häufigen Deal-Breaker. Keine NFC-Karten-Unterstützung für beliebige Ausweise. Kein Air-Gap-Betrieb. Geräte müssen sich in Entra registrieren.
Gesundheitswesen, Fertigung oder Embedded, die Identität nicht in Entra verschieben wollen oder können. Bestehende NFC-Karten-Bestände, die weiterhin genutzt werden sollen. Windows Server 2012R2 / Windows 8 Maschinen, die noch im Einsatz sind.
Etablierte Installationsbasis und starker Helpdesk. v4.0+ besitzt einen Offline-Modus (Passwort + Duo Mobile / Bluetooth-Proximity), sodass eine kurze Cloud-Störung nicht alle aussperrt. Marken-Rückhalt durch Cisco.
Cloud-abhängig im Normalbetrieb — Telemetrie, Richtlinien und Enrollment fließen über die US-Infrastruktur von Duo (US-CLOUD-Act-Exposition). 2FA-zusätzlich-zum-Passwort per Design — ersetzt nicht die Passwort-Kachel. Keine NFC-Karten-Unterstützung für beliebige Ausweise. Nur Abonnement-Preise.
Air-Gap und OT-Netze. Krankenhäuser, in denen Pflegekräfte eine Karte tippen, statt das Telefon zu zücken. EU-Souveränitäts-Vorgaben. Dauerlizenz.
Ein physisches Token, das OATH-TOTP/HOTP, PIV-Smartcard, Yubico OTP und OpenPGP auf demselben Gerät abdeckt. NFC-Tap auf Windows mit kompatiblen Lesegeräten. FIPS 140-2 Level 2 als YubiKey-5-FIPS-Variante verfügbar. IP68, ohne Batterie.
Einseitige Bindung an YubiKey-Hardware zu €50–€85 je Gerät. Die bestehende MIFARE-Mitarbeiter-Karte des Krankenhauses, der Zugangsausweis der Behörde oder eine NFC-Karte außerhalb von YubiKey lassen sich nicht nutzen. Eingeschränktes zentrales Management ohne YubiOn Cloud.
Kunden mit bestehenden NFC-Karten-Beständen, die diese für die Windows-Anmeldung weiterverwenden wollen, statt ein zweites Gerät auszugeben. Gemischte Token-Bestände (manche Anwender NFC, manche TOTP, manche USB).
Moderne Passwortlos-UX. Polierter mobilgetriebener Ablauf. Starke Enterprise-Integrationen mit Okta, Entra, ForgeRock und Ping. Phishing-resistentes Authentifizierungs-Design.
SaaS-Plattform. Öffentlicher Schlüssel in der HYPR Cloud gespeichert. Telefon-Pflicht für den Hauptablauf — ungeeignet für Krankenstationen, Fertigungslinien, ATEX-Zonen und überall dort, wo Mobiltelefone nicht erlaubt sind.
Überall, wo das Telefon nicht am Körper getragen werden darf. Überall, wo Cloud ausgeschlossen ist. Überall, wo das Hardware-Token eine bereits ausgegebene Kontaktloskarte sein muss.
Etabliertes On-Prem-Deployment. Credential Provider Filter (verbirgt MS- / Smartcard- / Drittanbieter- / SecurID-Kacheln). Mehr-Benutzer- / Shared-Computer-Unterstützung — der Krankenhaus-Workstation-Anwendungsfall. Offline-Daten für getrennten Betrieb.
SecurID-Token-zentrisch — proprietäres Hardware/Software-Ökosystem mit eigener Lizenz-Ökonomie. Schwere Infrastruktur: Authentication-Manager-Appliances plus Replikas. Alternde Marke. US-Eigentümer.
Wer sich die Pro-Token-Ökonomie von RSA anschaut und sich für handelsübliche NFC-Karten plus TOTP entscheidet, ohne eine sechsstellige Authentication-Manager-Investition. Einfachere Bereitstellung (keine separate Auth-Manager-Appliance).
Wirklich On-Prem, AD-nativ, ohne Cloud. Speziell entwickelt, um „Pass-the-Hash“-Angriffe gegen Domänen-Admins zu erschweren. Gecachte / Offline-Anmeldung für mobile Workstations. Dauerlizenzierung.
YubiKey-zentrisch — keine Breite an NFC-Karten. Kleiner Einzelprodukt-Anbieter. Kein Web SSO. Kein Java- / Legacy-App-Auto-Fill. Außerhalb klassischer AD-Umgebungen weniger geeignet.
Dieselbe On-Prem-Geschichte, aber mit Breite an NFC-Karten + TOTP + USB-Stick + Web SSO + dem T2med-artigen Java-Auto-Fill obenauf.
Keine Meinung — das sind die Punkte, an denen nach der obigen Matrix nur CodeB den Haken setzt.
CodeBAdminCLI.exe aus — 500 Karten aus einer CSV an einem Nachmittag. Laut Microsoft-Dokumentation unterstützt Windows Hello for Business keine zentrale Vorprovisionierung: Jeder Anwender muss Hello bei der ersten Anmeldung auf dem eigenen Gerät enrollen. Unternehmenskunden nennen uns dies als häufigen Deal-Breaker bei Hello.Wenn wir nicht das richtige Werkzeug für Ihre Umgebung sind, sagen wir das lieber vorab als nach Vertragsschluss. Das sind die Fälle, in denen ein anderer Anbieter besser passt.
Wenn eine der obigen Lücken ein Deal-Breaker für Ihre Umgebung ist, könnte einer der sechs Wettbewerber die bessere Wahl sein. Wir möchten lieber, dass Sie das hier herausfinden als nach dem Pilot.
Sagen Sie uns, welche Anbieter auf Ihrer Shortlist stehen und welche harten Anforderungen Sie haben. Wir kommen mit einer klaren Einschätzung zurück — auch wenn am Ende nicht wir passen.