Kennwort vs. Windows Hello PIN & Co. | Unterschiede | Vorteile

Kategorie: Windows
Lesezeit: 15 Minuten
Zugriffe: 182
  • Information

 

Immer wieder gibt es bei vielen Anwendern Unklarheiten in Bezug auf die verschiedenen Anmeldemöglichkeiten, welche Microsoft für Windows, bzw. M365 bereitstellt. Dieser Artikel soll daher für mehr Klarheit sorgen sowie bei der Verwendung der verschiedenen Anmeldeoptionen unterstützen.

 

 

 

Inhaltsverzeichnis

  • Wieso gibt es Hello PIN & Co. überhaupt?!
  • Warum sind Hello PIN & Co. sicherer als ein herkömmliches Kennwort?!
  • Fazit
  • Best practice -Empfehlungen
  • Quellen / Links
    •  
     

     

    Bevor wir uns die Verwendung näher betrachten, wollen wir in der ersten Sektion anschauen, aus welchem Grund das Kennwort, um neue Anmeldevarianten ergänzt wurde.

     

    Wieso gibt es Hello PIN & Co. überhaupt?!

     

    Das Kennwort ist nach wie vor DER integrale Basisbaustein, sowohl für lokale Windowskonten, als auch für M365-Accounts. Genau aus diesem Grund, sollten Kennwörter so sicher, wie nur möglich sein – um das Konto vor unbefugtem Zugriff zu schützen. Generell kann man sagen: Ein Passwort ist umso sicherer, je länger und kryptischer es ist. (Mehr zum Thema Passwortsicherheit, kannst du auch hier nachlesen.)

     

    Am Beispiel der folgenden zwei Kennwörter klären wir nun, wieso es diese zusätzlichen Anmeldeoptionen, wie die Hello PIN, überhaupt gibt.

     

    Beispiel 1

    		  

    Beispiel 2

    123-Geheim

    versus

    20(8asWR§mg_di32—sP:&bs8md!?fU+HL
      Einstufung Passwortstaerke 215 Bits

     

    Die 10 Zeichen von Passwort 1 enthalten Groß- und Kleinschreibung, Sonderzeichen und Zahlen. Damit ist Passwort 1 noch immer konform für die Sicherheitsrichtlinien vieler gängiger Benutzeraccounts. Angenehm zu merken ist dieses Kennwort auch. Doch, mit einer Sicherheit von gerade einmal 29 Bits, handelt es sich um ein sehr schlechtes, d.h. wenig sicheres Kennwort.

     

    Passwort 2 besteht aus 33 Zeichen und geht geradezu verschwenderisch mit dem Mix aus Sonderzeichen, Ziffern sowie Groß- und Kleinschreibung um. Dies macht sich auch in Sachen Sicherheit sehr positiv bemerkbar: Passwort 2 hat eine Sicherheitseinstufung von 215 Bits – und ist damit extrem sicher!

     

    Berechnung der Passwortstärke

    Die stärke, d.h. wie sicher ein Passwort ist, wird in Bit(s) angegeben; man kann also sagen Bit ist die Einheit, in der die Passwortstärke gemessen wird. Viele Systeme zeigen den Benutzern einfach „nur“ an, ob das Passwort schwach oder stark ist – im Hintergrund hat das System jedoch die Qualität des eingegebenen Kennwortes ebenfalls in Bit ermittelt.

    Du kannst dir merken: Je höher die in Bits angegebene Zahl, umso sicherer ist dein Kennwort!

     

    Ich möchte noch einmal hervorheben, dass wir hier gerade einmal 33 Zeichen verwendet haben. Inzwischen können aber bei modernen Sicherheitsrichtlinien mitunter schon bis zu über 200 Zeichen für das Passwort genutzt werden!

    Bei Konten, die permanent über das Internet zugänglich, somit also auch potenziell angreifbar sind (hierzu gehört z.B. auch der M365 Account), sollten daher auch unbedingt sehr komplexe Passwörter zum Einsatz kommen.

     

    Das Problem: Wer kann sich schon eine dermaßen kryptische Buchstaben, Zahlen und Symbol-Kombination merken, wenn diese zudem eine Länge von 200 Zeichen umfasst?! Ganz zu schweigen von der Zeit, die man für die manuelle Eingabe eines solch umfangreichen Kennwortes benötigt!

     

    Die Folge: Benutzer verzichten auf möglichst sichere Passwörter und verwenden stattdessen Kennwörter, die sie sich einfach merken können.

     

    Aus diesem Grund wurden alternative Anmeldemethoden entwickelt, welche als ein Bindeglied zwischen Kontosicherheit und Bedienkomfort fungieren!

     

     

    Worauf basiert Windows Hello

    Die passwortlose Anmeldung mittels Windows Hello, geht zurück auf die Mitarbeit von Microsoft, bei dem Web-Authn Projekt von The World Wide Web Consortium (W3C) und der FIDO Allianz. Oft wird diese Authentifizierungsart auch "W3C Web-Authentifizierung" genannt.

    Hier geht es zu einem Presseartikel von W3C, in welchem u.a. für Microsoft, Alex Simons (Corporate Vice President, Program Management, Microsoft Identity Division), die Relevanz dieser Zusammenarbeit, für Millionen von Benutzern betont.

     

     

     

     

    Warum sind Hello PIN & Co. sicherer als ein herkömmliches Kennwort?!

     

    Die Hello PIN ist also eine von verschiedenen Anmeldeoptionen welche Microsoft zwecks sicherer, aber dennoch komfortabler Kontosicherheit eingeführt hat. Anstatt das lange Kennwort einzugeben, tippt man eine vergleichsweise kurze und einfach zu merkende PIN ein.

     

    Weitere moderne Anmeldemethoden - Einblick

    Außerdem können beispielsweise auch verschiedene biometrische Merkmale für den alternativen Anmeldevorgang verwendet werden (z.B. Fingerabdruck, Gesicht, Iris). Darüber hinaus lässt Windows aber auch die Anmeldung mittels sog. Sicherheitsschlüssel zu. Hierbei prüft das Gerät, an welchem man sich anmelden will, ob ein besonderer USB-Stick eingesteckt ist.

     

    Die folgende (vereinfachte) Infografik hilft uns dabei den Aufbau, bzw. den Unterschied von Kennwort sowie Hello PIN & Co. besser zu verstehen – dies ist nur eine oberflächliche Abbildung, die Neulingen den Einstieg erleichtern soll.

    (Hier geht es direkt zu einem detailierteren Schaubild, welches den tatsächlichen Anmeldevorgang exakter darstellt.) 

     

    Das symbolisierte Schloss stellt also den Zugang, d.h. die erfolgreiche Anmeldung (beispielsweise an einem M365 Konto) dar. Das Kennwort ist ein verpflichtender Bestandteil dieser Anmeldeprozedur und sollte entsprechend sicher, d.h. komplex sein.

    Erst darauf aufbauend, findet die Verarbeitung von Windows Hello- PIN, Gesichts-, Fingerabdruckerkennung und Weiteren statt.

     

    Wir bleiben stellvertretend bei der Verwendung einer PIN. Wurde diese korrekt eingegeben, übernimmt das Gerät, bzw. Hello den restlichen Anmeldevorgang für den Benutzer. Mann kann sagen, dass Hello das lange, kryptische Basis-Kennwort für den Benutzer übergibt; obwohl dieser nur eine kurze PIN eingeben musste.

    So kann man ein langes und möglichst kryptisches Kennwort für den Basisschutz des Kontos, (z.B. via Hello PIN) dennoch auf sehr komfortable Weise verwenden.

     

    Beispiel zur Veranschaulichung

    Das Kennwort lautet: 2390_EI)d.!bsaz2b156Q+?Ldway.M“(mfs“§vdf-_65/asüDB
    Die PIN, mit der wir das oben angegebene Beispiel-Kennwort geltend machen können, lautet: 967985

    Möchte sich nun jemand unbefugtes, an unserem Officekonto anmelden, müsste diese Person das lange und kryptische Kennwort eintippen. Wir aber haben auf unserem Gerät Kennwort und PIN miteinander verbunden und können uns daher durch die Verwendung der einfachen PIN anmelden.

     

     

    Exaktere Infografik

    In Wirklichkeit übergibt Hello bei korrekter PIN-Eingabe, nicht das sichere Kennwort, sondern gleicht sogenannte Sicherheitsschlüssel mit dem Anmeldeserver ab, bzw. übergibt einen Sicherheitsschlüssel.
    Der Vorteil hierbei ist, dass bei der Übertragung des Sicherheitsschlüssels, nicht das echte Kennwort übertragen wird (und dieses somit auch nicht von Unbefugten ausgelesen werden kann).

    Die Infografik zum Einsatz einer Hello PIN, müsste daher eigentlich wie folgt aussehen:
    Infografik HelloPIN Aufbau 02

     

     

    Wo werden Fingerabdruck und andere biometrische Anmeldemerkmale gespeichert?

    Viele AnwenderInnen stellen sich an diesem Punkt die Frage, ob sie biometrische Merkmale, wie Iris, Gesicht oder Fingerabdruck, überhaupt nutzen sollten. Oder anders gesagt: Wie sicher sind die biometrischen Anmeldedaten gegenüber den Herstellern (z.B. gegenüber Microsoft)?

     

    Mancher User wird bereits etwas von TPM gehört haben (vielleicht in Zusammenhang mit dem Test, ob alte Computerhardware kompatibel mit Windows 11 ist). TPM steht für Trusted Platform Module und bezeichnet einen Hardware-Chip, der sich um die Sicherheitsfunktionen des Systems kümmert.

    Sicherheitsinformationen (wie zur Anmeldung hinterlegte Fingerabdrücke) können also auf diesem Hardware-Chip abgespeichert werden, statt als angreifbare Daten auf der Festplatte. Auch Microsofts Hello nutzt diesen TPM-Chip.

     

    Hello PIN, bzw. Fingerabdrücke & Co., werden demgemäß auf dem lokalen Gerät, im TPM-Chip gespeichert. Zur Anmeldung selbst, werden dann, wie im vorigen Abschnitt bereits erklärt, ohnehin nur die extra hierfür erstellten Sicherheitsschlüssel übertragen. Hersteller, wie Microsoft, erhalten also nicht den Fingerabdruck, um diesen direkt für den Anmeldevorgang abzugleichen.

     

     

     

     

    Fazit

     

    Diese modernen Anmeldeoptionen sind also eine wirklich tolle Möglichkeit zusätzliche Sicherheit zu erhalten und dabei den Bedienkomfort zu steigern.

     

    Zu beachten ist, dass für die Nutzung von biometrischen Anmeldemerkmalen, auch stets eine Hello PIN erzeugt werden muss!

    Das hängt damit zusammen, dass Microsoft die Anmeldung via Hello auch dann gewährleisten möchte, wenn z.B. der Fingerabdrucksensor defekt ist. Die PIN dient also als Basis, bzw. Rückfallebene.

     

     

    Welche konkreten Vorteile bieten zusätzliche Anmeldemöglichkeiten, wie z.B. Hello PIN?!

  • Es kann ein sicheres, bzw. noch besseres Kennwort verwendet werden (nicht nur kryptisch, sondern auch mit sehr vielen Zeichen!).

  • Als legitimer Benutzer kann man (trotz dessen, dass man ein sehr langes und kryptisches Kennwort als Sicherheit hat) auf die Eingabe eines komplexen Passwortes verzichten.

  • Anmeldedaten von Hello- PIN oder Fingerabdruck, werden im TPM-Chip deines jeweiligen Endgerätes gespeichert, haben also auch nur in Kombination mit diesem Gerät Gültigkeit.

  • Hat eine dritte Person die PIN-Eingabe beobachtet, kann sich diese Person mit ihrem eigenen Gerät trotzdem nicht einfach so an deinem Konto anmelden.
    (Diese dritte Person hat schließlich nur die PIN gesehen, welche zusammen mit deinem spezifischen Gerät arbeitet, kennt aber dadurch noch immer nicht das „echte“ Kennwort des Kontos!)

  • Noch sicherer ist es (sofern das Endgerät dies unterstützt) ein biometrisches Anmeldemerkmal, wie z.B. den Fingerabdruck oder die Gesichtserkennung zu verwenden. Hier besteht der überzeugende Vorteil darin, dass Dritten keine Anmeldedaten offengelegt werden, selbst wenn dir jemand bei der Anmeldung über die Schulter schaut. Im Höchstfall sieht ein Dritter, mit welchem Finger du dich anmeldest – dadurch kann sich diese Person aber nicht selbst an deinem Gerät/Konto anmelden.

     

     

    Nachteile der Verwendung von Hello PIN und Co.

  • Die Anmeldemöglichkeit muss für jedes Gerät separat eingerichtet, bzw. geändert werden. Je mehr Geräte man hat, umso mehr Aufwand fällt bei einer Änderung an.
    Nutzt man jedoch ohnehin nicht die selbe PIN für jedes Gerät (was zu empfehlen ist), muss man diese auch nicht pauschal auf sämtlichen Geräten ändern, sollte sie einmal unbefugten bekannt geworden sein!

  • Kennt eine dritte Person die PIN und hat dann auch noch Zugang zu deinem Gerät (auf welchem die PIN genutzt wird), hat diese Person auch Zugriff auf dein Konto – ohne dass sich diese Person an ein schwer zu merkendes Kennwort erinnern muss.

  • Bei der Gesichtserkennung ist Vorsicht geboten, denn es gab bereits Experimente, bei denen eine Anmeldung mit Hilfe eines Fotos erfolgen konnte.
    Inzwischen werden daher immer häufiger Infrarotkameras zur Gesichtserkennung eingesetzt. Auf diese Weise soll eine Fotoerkennung ausgeschlossen werden, da ein Foto normalerweise keine Wärmesignatur hat.
    Womöglich wäre für die Gesichtserkennung dennoch auch eine Abfrage von Gesten (z.B. Augenrollen oder Lächeln), ein probates, zusätzliches Sicherheitsmerkmal. Nehmen wir an, das zu schützende Gerät gehört einem Menschen, der einen gleich aussehenden Zwilling hat. Ob diese Person das Gerät tatsächlich auch vor seinem Zwilling schützen muss, sei mal dahingestellt. Aber es gibt ja auch Personen, die sich zum verwechseln ähnlich sehen, und sich dabei nicht einmal kennen. Könnte sich also Person A für eine von ihm wählbare Gesichtsgeste entscheiden, die als weiteres Sicherheitsmerkmal abgefragt würde, könnten sich selbst gleich aussehende andere Personen nicht einfach so anmelden. Diese anderen Personen müssten nämlich außerdem wissen, ob Person A die Freischaltung z.B. mittels Lächeln oder Zwinkern initiiert. 

    •  

     

     

     

     

    Best practice -Empfehlungen

     

    Es handelt sich folgend um allgemeingültige Empfehlungen, welche stets am individuellen Einzelfall geprüft, bzw. für diesen abgewandelt werden sollten!

    Die roten Textbereiche sind besondere Hinweise, speziell für Administratoren von Azure AD, bzw. M365.

     

    • Nutze ein möglichst langes Kennwort, d.h. verabschiede dich von dieser leider häufig noch immer vorherrschenden „magischen“ 8 Zeichen Passwortlänge. Setze dir stattdessen selbst eine hohe Mindest-Zeichenanzahl (z.B. mindestens 20 Zeichen - damit wärst du schon auf einem besseren Weg, als viele andere User).
      Passwortlänge ist natürlich nicht alles, nutze viele Sonderzeichen und wechsle häufig zwischen Groß- und Kleinschreibung.

    Beispiel zur Veranschaulichung

    Kennwort mit 8 Zeichen:
    Bt=;rryY (Sicherheitseinstufung: 47 Bits)



    Kennwort mit den selben Zeichen wie zuvor, aber mit einer Länge von 20 Zeichen:
    Bt=;rryYt=Bt;r=yYrYr (Sicherheitseinstufung: 76 Bits)
    Einstufung Passwortstaerke 76 Bits


    Kennwort mit 20 -ganz unterschiedlichen- Zeichen:
    :AaYb2j</=z<E3Qs+Ggl (Sicherheitseinstufung: 128 Bits)
    Einstufung Passwortstaerke 128 Bits

     

     

    • Bist du Azure AD Admin, hast du es darüber hinaus selbst in der Hand entsprechend höherwertige Passwortrichtlinien für dein Unternehmen festzulegen – nutze dies! Du weißt ja nun, womit du deinen Usern dennoch eine komfortable und sichere Anmeldung bereitstellen kannst.

     

    • Neben dem "echten" Kennwort, nutze mindestens eine der modernen „vorgeschalteten“ Anmeldeoptionen, z.B. Hello PIN oder die Fingerabdruckerkennung (sollte dein Gerät diese biometrische Anmeldemöglichkeit anbieten).

     

    • Wie die Bezeichnung verrät, besteht eine PIN i.d.R. ausschließlich aus Ziffern (PIN = Persönliche Identifikationsnummer). Doch die Hello PIN kann auch Buchstaben und Symbole verarbeiten. Auf diese Weise kann die Hello PIN wie ein normales Kennwort verwendet werden, bietet aber eine höhere Sicherheit.

    Beispiel zur Veranschaulichung

    Eine 20-stellige PIN, ausschließlich aus Ziffern:
    64229647802829318135 (Sicherheitseinstufung: 62 Bits)
    Einstufung Passwortstaerke 62 Bits


    Eine 20-stellige PIN, mit Sonderzeichen und Buchstaben:
    7,U}@x=hgt]|]_Jr5Ua9 (Sicherheitseinstufung: 123 Bits)
    Einstufung Passwortstaerke 123 Bits


    Bei der zusätzlichen Verwendung von Buchstaben und Sonderzeichen, erhalten wir ein etwa doppelt so sicheres Kennwort – und das, obwohl wir nicht einmal die Anzahl der Zeichen erhöht haben!

     

     

    • Als Azure AD Administrator musst du aber die zusätzliche Nutzung von Buchstaben und Symbolen, für die Hello PIN, erst einmal erlauben. Das solltest du definitiv ermöglichen!
      Da User eine einmal auswendig gelernte PIN nur ungern ändern, solltest du dies, nach Möglichkeit, bereits umsetzen bevor die BenutzerInnen die Geräte erhalten.

     

    • Ob Kennwort oder PIN (mit Buchstaben etc.), die Sicherheit ist in beiden Fällen schnell ausgehebelt, wenn man z.B. den Laptop aufklappt und dort die Anmeldeinformationen einfach ablesen kann. Aus diesem Grund sind die biometrischen Merkmale so sicher. Biometrie muss man nämlich nirgendwo notieren, um sie sich zu merken. Im Fall des Fingerabdrucksensors, muss man sich also höchstens merken, welcher Finger verwendet werden muss.

    • Ist die Wahrscheinlichkeit hoch, dass dir (häufig) jemand bei der Eingabe von Kennwort/PIN, über die Schulter schauen könnte, gilt: Verwende besser eine biometrische Anmeldefunktion, wie einen Fingerabdruck oder die Gesichtserkennung (je nach Endgerät können unterschiedliche biometrische Anmeldemöglichkeit vorhanden sein, bzw. fehlen!).

     

     

    Quellenangaben / Weiterführende Links

     

     

     

     

    Autor: Daniel Kaufhold

     

     

     

     

  • Acronis

    Acronis

    Acronis - eine DER Instanzen, wenn es um Cybersicherheit geht.

  • Mogge Solutions

    Mogge Solutions

    Flying Pegasus EDV arbeitet im Tagesgschäft eng mit Mogge Solutions zusammen. Dadurch profitieren beide Kundenstämme von einem breiteren Produktportfolio.

  • eRecht24 Agenturpartner

    eRecht24 Agenturpartner

    Durch die Partnerschaft mit eRecht24, profitieren nun auch KundInnen von Flying Pegasus EDV von anwaltlich erstellten Rechtstexten für Website und Co.

  • Universität Kassel

    Universität Kassel

    Universität Kassel
    Fachbereich 02
    Geistes und Kulturwissenschaften

  • Damm Steingestaltung

    Damm Steingestaltung

    Damm Steingestaltung

  • Bunter Kreis Kassel

    Bunter Kreis Kassel

    Sozialmedizinische Nachsorge für Familien mit frühgeborenen, chronisch und schwerkranken Kindern und Jugendlichen

  • RL Autoservice

    RL Autoservice

    Freie KFZ-Meisterwerkstatt in Kaufungen

  • DRK Ahnatal

    DRK Ahnatal

    Deutsches Rotes Kreuz Ahnatal

    Stahlberg-Pegasus-Thema