Drei Produkte. Ein Identity-Stack für Windows.

Was es ersetzt

Die Microsoft-Passwort-Provider-Kachel. CodeB liefert einen integrierten Credential Provider Filter mit aus; sobald die Richtlinie angewendet ist, verschwindet die Passwort-Kachel vollständig.

Herkunft

CP V2 ist kein Produkt der Version 1.0. Aloaha hat Aloaha Smartlogin mehr als zwei Jahrzehnte entwickelt und betreut — einer der am längsten laufenden Windows-Credential-Provider am Markt. Der Credential Provider V2 ist dessen vollständige Neuentwicklung in modernem Managed Code: dieselbe operative Erfahrung, moderne Architektur, ein Plugin-Modell, das neue Token-Typen einfach ergänzen lässt. Sie erwerben zwanzig Jahre Erfahrung mit Sonderfällen in einer aktuellen Codebasis.

FIPS 140-2 erzwingbar — und einzigartig

Weil der Credential Provider V2 in 100 % Managed .NET Code geschrieben ist, beachtet er die Standard-Group-Policy-Einstellung „Systemkryptografie: Konformität mit FIPS-Algorithmus für Verschlüsselung, Hashing und Signatur erzwingen“. Schalten Sie sie ein, und Windows selbst erzwingt FIPS 140-2 gegen jeden Krypto-Aufruf, den CodeB tätigt — keine zusätzliche Laufzeit, keine parallele Krypto-Bibliothek, kein „vertrauen Sie uns“. Jeder andere uns bekannte Windows-Credential-Provider ist in nativem Code geschrieben und kann auf diese Weise nicht erzwungen werden. Wenn Sie einen FIPS-konformen Anmelde-Pfad benötigen, ist CodeB der einzige Credential Provider, der ihn per einem einzigen GPO-Schalter liefert.

Zwei Editionen, ein Credential Provider

Wählen Sie diejenige, die am besten zu Ihrem Bereitstellungs-Modell passt. Beide Editionen setzen auf demselben Credential Provider auf — der Unterschied liegt darin, wie die unterstützenden Helfer paketiert sind.

Tipp für die Produktion: Das System-Tray-Symbol lässt sich vor Endanwendern verbergen, indem der Registry-Wert HKLM\SOFTWARE\WOW6432Node\CodeB\Config\HideSystray gesetzt wird. Der Helfer läuft weiter — einschließlich Aktionen beim Karten-Entfernen — aber normale Anwender sehen ihn nicht und können ihn nicht versehentlich verstellen.

Admin-Werkzeuge für unbeaufsichtigte Rollouts

CodeB Admin CLI (CodeBAdminCLI.exe) ist ein separates Kommandozeilen-Werkzeug für Systemadministratoren. Es führt dieselben Enrollment-Aktionen aus wie die GUI-Helfer — eine NFC-Karte einem AD-Benutzer zuordnen, verschlüsselte Anmeldedaten speichern, lokale Soft-Tokens anlegen, Zuweisungen prüfen, eine Karte sperren — aber unbeaufsichtigt, aus jedem Batch-Skript, jeder PowerShell-Pipeline oder jedem SCCM-Task. 500 Karten von Hand auszurollen ist eine Woche; aus einer CSV in einer Schleife ein Nachmittag.

Verstandene Schalter

/add2fa	Eine Kartenseriennummer als zweiten Faktor für einen AD-Benutzer zuweisen. Entspricht LinkNFC2AD.exe in Skriptform.
/add2ad	Verschlüsselte Anmeldedaten in AD speichern („Store to AD“ aktiviert). Ersetzt den manuellen Ablauf von LinkNFCCard.exe.
/add2fs	Ein verschlüsseltes Soft-Token lokal anlegen statt in AD zu speichern.
/list2facards	Alle Kartenseriennummern auflisten, die einem bestimmten Benutzer zugewiesen sind.
/list2fa	Umgekehrte Suche — bei gegebener Kartenseriennummer den zugewiesenen Benutzer ermitteln.
/deletecard	Den Karten-Verweis sowohl aus den 2FA-Datensätzen als auch aus den Credential-Tokens entfernen.

Parameter

/user	Verwalteter Benutzername.
/domain	Anmelde-Domäne, zu der der Benutzer gehört.
/password	Passwort des Benutzers — nur in Verbindung mit /add2ad erforderlich.
/cardserial	Eindeutige Kennung (UID) der NFC-Karte.
/pin	PIN, die der Karte zur Anmelde-Verifikation zugewiesen wird.
/action	1 = Bildschirm bei Karten-Entfernung sperren, 2 = Benutzer abmelden.

Beispiel-Aufrufe

:: Eine Kartenseriennummer als zweiten Faktor zuweisen
CodeBAdminCLI.exe /add2fa /user stefan /domain CodeB /serial AAFFBBCC

:: Verschlüsselte Anmeldedaten in AD speichern
CodeBAdminCLI.exe /add2ad /user stefan /domain CodeB /password letmein /serial AAFFBBCC /pin 1234

:: Oder die verschlüsselten Anmeldedaten lokal als Soft-Token speichern
CodeBAdminCLI.exe /add2fs /user stefan /domain CodeB /password letmein /serial AAFFBBCC /pin 1234

:: Alle einem Benutzer zugewiesenen Karten auflisten
CodeBAdminCLI.exe /list2facards /user stefan /domain CodeB

:: Umgekehrte Suche: Wem gehört diese Karte?
CodeBAdminCLI.exe /list2fa /serial AAFFBBFF

:: Eine Karte sperren (entfernt 2FA + Credential-Token)
CodeBAdminCLI.exe /deletecard /serial AAFFBBFF /user stefan

Admin-Tipp: Die CLI schreibt in AD-Attribute und in den Credential-Speicher. Wenn Sie die passenden AD-Berechtigungen an das aufrufende Konto delegieren, sind keine lokalen Admin-Rechte notwendig — nützlich für SCCM-Tasks und unbeaufsichtigte Skripte.

Unterstützte Tokens

Sortiert nach Häufigkeit im Einsatz.

• NFC-Kontaktloskarten — die beliebteste Variante. MIFARE Classic, MIFARE DESFIRE EV1/EV2/EV3 und eine breite Auswahl kontaktloser Karten. Einsetzbar als zweiter Faktor oder als vollständiger Passwort-Ersatz.
• TOTP nach RFC 6238 — 30-Sekunden-Fenster, SHA-1 / SHA-256. Das zweithäufigste Token. Einsetzbar als zweiter Faktor oder als vollständiger Passwort-Ersatz.
• X.509 PKI-Smartcards — Gesundheitswesen, Verteidigung und unternehmensseitig ausgestellte Karten. Software-Zertifikate ebenfalls unterstützt. Seltener im Einsatz; eingesetzt, wo eine bestehende PKI-Infrastruktur bereits vorhanden ist.
• USB-Memory-Stick — eine schnelle Möglichkeit, das Produkt an einem Arbeitsplatz zu evaluieren, ohne neue Hardware zu beschaffen. Für Proof-of-Concept geeignet; für den produktiven Einsatz empfehlen wir NFC, TOTP oder PKI.

Wo es läuft

Betriebssysteme	Windows 8, 8.1, 10, 11 · Windows Server 2012 R2 → 2025 (x86 + x64)
Konto-Modell	Lokal · Active Directory · Microsoft Entra ID · Hybrid
Verteilung	Kommandozeilen-Installer · ausrollbar per Group Policy oder beliebigem Registry-gesteuerten Konfigurationswerkzeug · MSI auf Anfrage
Architektur	Aufbauend auf ICredentialProviderCredential2 mit integriertem Credential Provider Filter; eigene Plugin-Bibliothek unterstützt.
FIPS 140-2	Per Windows Group Policy erzwingbar (Managed-Code-Architektur beachtet „FIPS-konforme Algorithmen verwenden“). Native-Code-Mitbewerber lassen sich auf diese Weise nicht erzwingen.
Souveränität	Keine Cloud erforderlich · EU-betrieben. Ausschließlich On-Premises · keine SaaS-Steuerebene · keine Cloud- oder Internetverbindung zum Betrieb · Air-Gap-fähig · betrieben von einer EU-Gesellschaft (Aloaha Limited, Malta) und konzipiert für Organisationen, die eine europäisch betriebene, selbst gehostete Identitäts-Infrastruktur ohne Abhängigkeit von US-Cloud-Plattformen suchen

Office-Author-Tagging auf Sammelkonten Neu

In Fertigung, Laboren, Klinik und anderen Umgebungen mit hohem Anwender-Durchsatz arbeiten legitim mehrere Personen unter demselben Windows-Konto — ein Sammelkonto. Das hält den Betrieb am Laufen, bricht aber die Zuordnung innerhalb von Office: Jede Änderung, jeder Kommentar und jede aufgezeichnete Anpassung landet unter demselben geteilten Anwender. CP V2 schließt diese Lücke: Bei Anmeldung oder Entsperren hängt der Credential Provider die eindeutige NFC-Karten-ID in Klammern an den Office-Author-Namen.

username (EA35CF34)

Ab diesem Moment trägt jede Änderung, jeder Kommentar, jede Track-Change und jede Metadaten-Anpassung in Word, Excel oder PowerPoint genau die Karten-ID, die an der Workstation verwendet wurde — und dieselbe Karten-ID steht im Windows-Ereignisprotokoll. Audit-Teams korrelieren beides, und eine Handlung in einem Office-Dokument wird einer konkreten Person zuordenbar, auch wenn das Windows-Konto darunter geteilt ist.

• Compliance-bereit. Unterstützt Identity-Tracking nach ISO/IEC 27001 (A.9 Access Control) und NIS2-Zuordnungspflichten für essenzielle/wichtige Einrichtungen.
• Audit-sicher. Jede Handlung in Office-Dokumenten verweist auf ein eindeutiges Karten-Token; dasselbe Token erscheint im Windows-Ereignisprotokoll — durchgängige Korrelation.
• Null Aufwand für Anwender. Das Author-Profil wird bei Anmeldung und Entsperren automatisch aktualisiert. Operatoren machen nichts anders.
• Gebaut für Shared-PC-Umgebungen. Hält den Betrieb effizient, ohne Zuordnung auf Sammelkonten zu opfern.

Voraussetzungen: MIFARE- oder DESFIRE-NFC-Karten (via LinkNFCCard mit der Identität verknüpft), CodeB-Systemtray läuft an der Workstation, CP V2 mit aktuellem Update. Author-Tagging für USB, Zertifikate, TOTP und OIDC ist auf der Roadmap.

Was es tatsächlich tut

Web SSO wird als Browser-Erweiterung über die offiziellen Microsoft Edge Add-ons und den Chrome Web Store ausgeliefert, gepaart mit einem kleinen nativen Helfer. Wenn ein Anwender eine konfigurierte Seite aufruft, übergibt der Helfer die Anmeldedaten über einen sicheren Kanal an die Erweiterung, und die Erweiterung trägt sie für den Anwender in das Anmeldeformular ein. Die Anmeldedaten werden nie von der Seite gelesen, nie in seitenseitigem JavaScript serialisiert und nie in die Zwischenablage kopiert.

Für Security-Teams

• Keine im Browser gespeicherten Anmeldedaten. Anmeldedaten leben im nativen Helfer auf Betriebssystem-Ebene — nicht im Browser-Profil-Speicher, nicht im Erweiterungs-Speicher, nicht über Browser hinweg synchronisiert. Ein entwendetes Browser-Profil oder ein kompromittierter Sync-Schlüssel gibt nichts preis.
• Keine Zwischenablage, keine Persistenz. Web SSO trägt Anmeldedaten direkt in Formularfelder über den prozess-isolierten Native-Messaging-Kanal von Chrome und Edge ein. Sie werden nicht in die Zwischenablage kopiert und nicht im Erweiterungs-Speicher zwischen Anmeldungen aufbewahrt.
• Über offizielle Browser-Stores verteilt. Signiert und geprüft durch Microsoft und Google — dieselbe Lieferkette, die Ihre bestehende Browser-Erweiterungs-Richtlinie bereits abdeckt.
• Zero-Trust-freundlich. In Kombination mit dem Credential Provider V2 ist jede Web-Anmeldung an eine Workstation-Anmeldung gekoppelt, die selbst durch eine NFC-Karte, PKI-Smartcard oder ein USB-Token belegt war.

Für Ihre Anwender

• Ein-Klick- oder stille Anmeldung. Die meisten Seiten melden sich automatisch an, sobald die Seite vollständig geladen ist; die übrigen brauchen einen Klick.
• Keine wiederholten Eingabeaufforderungen. Anwender tippen Benutzernamen und Passwörter für die täglichen Anwendungen nicht mehr.
• Keine Unterbrechungen im Arbeitsablauf. Einmal ausgerollt, bleibt Web SSO unsichtbar — bis auf den seltenen Fall, in dem eine Eingabeaufforderung notwendig ist. Dann fragt es einmal und merkt sich das Ergebnis.
• TOTP-Auto-Fill. Web SSO kann auch den 6-stelligen Einmal-Code auf dem Zweitfaktor-Bildschirm erzeugen und eintragen. Kein Handy, kein Code-Kopieren zwischen Fenstern.

Über den Browser hinaus: Legacy- und Java-Anwendungen

Derselbe Credential-Broker, der die Browser-Erweiterung steuert, kann Anwender auch in alte native Windows-Anwendungen und in Java-Desktop-Anwendungen anmelden, die einen eigenen Anmelde-Dialog anzeigen. Ein häufiges Bereitstellungs-Muster ist T2med — die Java-basierte Praxisverwaltungs-Suite —, bei der Web SSO die tägliche Reibung der Programm-Start-Anmeldungen für medizinisches Personal beseitigt. Vollständige T2med-Fallstudie inklusive Demo-Video. Der Mechanismus lässt sich auf jede Anwendung verallgemeinern, die eine erkennbare Anmelde-Oberfläche aufweist.

Zwei Bereitstellungs-Wege

Mit CP V2 gebündelt	Wird automatisch vom Credential-Provider-Installer mit installiert, wenn Sie das Setup der CodeB Tools Edition ausführen. Kein separater Installationsschritt.
Einzeln	Web-SSO-Paket herunterladen, die ausführbare Datei beim ersten Start einmalig als Administrator ausführen, damit sie sich bei den unterstützten Browsern registriert — fertig. Keine CP-V2-Abhängigkeit.
Browser-Unterstützung	Microsoft Edge (Edge Add-ons Store) · Google Chrome (Chrome Web Store) · Chromium-basierte Browser über die Chrome-Erweiterung
Native & Java-Anwendungen	Ja — Anmeldedaten lassen sich in alte Win32-Anmelde-Dialoge und Java-Desktop-Anwendungen eintragen. Referenz: T2med.
Zweiter Faktor	Erzeugt und füllt RFC 6238 TOTP-Codes auf dem 2FA-Schritt automatisch ein, wobei das Geheimnis im nativen Helfer und nicht in der Seite gehalten wird
Konto-Konfiguration	Starten Sie CodeBWebSSO.exe aus der Toolbox, um Benutzerkonten je Seite/Anwendung anzulegen und zu bearbeiten
Verteilung	Browser-Erweiterungen registrieren sich automatisch beim ersten Browser-Neustart nach der Installation; der native Helfer ist eine einzelne ausführbare Datei
Lizenzierung	Im Credential Provider V2 enthalten · einzelne Sitz-Lizenz verfügbar

Ansehen · Desktop Switcher in Aktion

Data Exposure Prevention, kein Aufräumen

Sie sind im Begriff, Ihren Bildschirm mit einer Kundin, einem Auditor, einem Lieferanten oder einer Patienten-Familie zu teilen. Auf Ihrem Desktop liegt Material, das die Gegenseite nicht sehen darf — ein Vertragsentwurf, eine klinische Fallakte, ein Netzplan, eine unredigierte CSV. Ohne Desktop Switcher haben Sie 30 Sekunden und 47 Dateien zu verschieben. Mit Desktop Switcher zieht ein Tastendruck diese Dateien vom Desktop in ein privates Profil, bevor die Bildschirm-Freigabe überhaupt startet, und ein zweiter Tastendruck stellt sie nach dem Termin wieder her.

Ein vollständiger Desktop-Tausch, kein Overlay

Andere Werkzeuge gruppieren Symbole oder blenden den Desktop aus. Desktop Switcher verschiebt Dateien physisch hinein und hinaus, stellt Symbol-Positionen exakt wieder her und wendet je Monitor ein anderes Hintergrundbild an. Wenn ein Profil inaktiv ist, liegen seine Dateien wirklich nicht auf dem Desktop — sie sind in Ihren AppData-Ordner geparkt, bis Sie zurückwechseln.

Was enthalten ist

• Echte Datei-Isolation. Dateien inaktiver Profile liegen in AppData, nicht auf dem Desktop. Die Symbole sind nicht ausgeblendet — sie sind weg, bis Sie zurückwechseln.
• Hintergrundbilder je Monitor mit dem vollen Satz Anpassungs-Modi — Ausfüllen, Anpassen, Strecken, Kacheln, Zentrieren, Spannweite. Werden beim Umschalten gemeinsam angewendet.
• Symbol-Layouts bleiben erhalten. Wo jede Verknüpfung auf dem Desktop liegt, ist Teil des Profils. Wechseln Sie später zurück, und jedes Symbol landet exakt dort, wo Sie es zurückgelassen haben.
• Globale Tastenkürzel. Belegen Sie Strg+Alt+1 mit Ihrem Arbeitsprofil, Strg+Alt+2 mit Ihrem sauberen Kundenprofil. Funktioniert von überall in Windows, ohne Maus.
• Tray-Notfallschalter. Konfigurieren Sie das Tray-Symbol so, dass es bei Doppelklick auf ein festgelegtes Profil wechselt. Die schnellstmögliche Panik-Reinigung für einen unerwarteten Anruf.
• Kommandozeilen-Schnittstelle. CodeBDesktopSwitcher.exe --switch "Saubere Demo" — in geplante Aufgaben, Batch-Dateien oder Stream-Deck-Knöpfe einbinden.
• Alle-Symbole-Schalter. Wollen Sie kein Profil bauen? Ein Menüeintrag oder eine Tastenkombination blendet sämtliche Desktop-Symbole vollständig aus, bis Sie sie wieder einblenden.
• Export & Import. Profile werden in eine einzelne .cbds-Datei gespeichert — effektiv ein Zip-Archiv, das sich wie jedes andere Bundle diffen und versionieren lässt. Nehmen Sie Ihre Einrichtung auf eine andere Maschine mit, teilen Sie einen bereinigten Demo-Desktop mit einem Kollegen oder sichern Sie Ihre Konfiguration.
• Portabel und leichtgewichtig. Eine ausführbare Datei, unter 1 MB. Kein Installer, keine Dienste, keine Admin-Rechte, keine Spuren. In einen beliebigen Ordner ablegen und starten; Ordner löschen zum Deinstallieren.

Vier Schritte. Danach denkt man nicht mehr darüber nach.

1. Ein Profil anlegen. Das erste Profil übernimmt stillschweigend Ihren aktuellen Desktop. Nichts verschiebt sich, nichts ändert sich — es ist nur jetzt benannt.
2. Für einen Kontext anpassen. Bauen Sie ein zweites Profil, indem Sie den Desktop so anordnen, wie Sie ihn haben möchten — sauberes Hintergrundbild, wenige Symbole. Klicken Sie auf „Vom Desktop aktualisieren“.
3. Mit einem Klick umschalten. Oder per Tastenkürzel. Oder per Tray-Doppelklick. Dateien tauschen sich, Hintergrundbilder tauschen sich, Symbole landen, wo Sie sie wollen. Dauert etwa eine Sekunde.
4. Zurückwechseln. Dasselbe in umgekehrter Richtung. Ihr echter Desktop erscheint exakt, wie Sie ihn verlassen haben — bis hin zu Symbol-Positionen und Hintergrundbildern je Monitor.

Profile folgen Ihren virtuellen Desktops

Desktop Switcher arbeitet sauber mit Microsofts integrierter Funktion „Virtuelle Desktops“ zusammen. In der Aufgabenansicht (Win+Tab) benennen Sie einen virtuellen Desktop wie ein Desktop-Switcher-Profil, und beide sind automatisch verknüpft — keine Konfigurations-Tabelle, keine GUIDs, keine Probleme beim Umsortieren von Desktops. Das Wechseln virtueller Desktops mit Strg+Win+→ wendet dann das zugehörige Profil binnen Bruchteilen einer Sekunde an.

Zwei Modi: Nur Hintergrundbild (Standard — sofort, ohne Explorer-Neustart, jeder virtuelle Desktop bekommt seinen eigenen Hintergrund) oder vollständiges Profil (Dateien, Symbol-Positionen und Hintergrundbilder tauschen sich, wenn Sie zwischen virtuellen Desktops wechseln).

Was es tauscht	Desktop-Dateien · Symbol-Positionen · Hintergrundbilder je Monitor
Was es nicht tauscht	Windows-Benutzersitzungen, geöffnete Anwendungen, Datei-Inhalte. Es ist ein Werkzeug auf der Präsentations-Ebene.
Auslöser	Globales Tastenkürzel · Tray-Doppelklick · CLI · Namensgleichheit mit Microsoft-Virtual-Desktop
Datei-Isolation	Dateien inaktiver Profile liegen in %AppData%; nicht auf dem Desktop sichtbar
Hintergrund-Anpassung	Ausfüllen · Anpassen · Strecken · Kacheln · Zentrieren · Spannweite (je Monitor)
Profil-Portabilität	Export / Import in .cbds-Datei (Zip-basiert, mit jedem Archiv-Werkzeug einsehbar)
Fußabdruck	Eine ausführbare Datei < 1 MB · kein Installer · keine Admin-Rechte · keine Dienste
Betriebssysteme	Windows 10 · Windows 11
Lizenzierung	Im Credential Provider V2 enthalten · einzelne Sitz-Lizenz verfügbar