Warum eine PIN besser als ein Kennwort ist
Microsoft Passport in Windows 10 ermöglicht Benutzern, sich mit einer PIN am Gerät anzumelden. Inwiefern unterscheidet sich eine PIN von einem Kennwort (und ist besser als ein Kennwort)?
Oberflächlich betrachtet ähnelt eine PIN sehr einem Kennwort. Eine PIN kann aus einer Reihe von Zahlen bestehen. Unternehmensrichtlinien lassen jedoch möglicherweise PINs zu, die Sonderzeichen sowie Groß- und Kleinbuchstaben enthalten. Eine Zeichenfolge wie t758A! könnte ein Kontokennwort oder eine komplexe Passport-PIN sein. Eine PIN ist nicht aufgrund ihrer Struktur (Länge, Komplexität) besser als ein Kennwort, sondern aufgrund ihrer Funktionsweise.
Eine PIN ist an das Gerät gebunden.
Ein wichtiger Unterschied zwischen einem Kennwort und einer Passport-PIN besteht darin, dass die PIN an das Gerät gebunden ist, auf dem sie eingerichtet wurde. Diese PIN ist für Dritte ohne diese bestimmte Hardware nutzlos. Eine Person, die Ihr Kennwort stiehlt, kann sich von überall an Ihrem Konto anmelden. Wenn diese Person jedoch ihre PIN stiehlt, muss sie auch das physische Gerät stehlen.
Auch Sie können diese PIN nur auf diesem bestimmten Gerät verwenden. Wenn Sie sich an mehreren Geräten anmelden möchten, müssen Sie auf jedem Gerät Passport einrichten.
PINs werden lokal auf dem Gerät gespeichert
Ein Kennwort wird an den Server übertragen und kann während der Übertragung abgefangen oder vom Server gestohlen werden. Eine PIN wird lokal auf dem Gerät gespeichert und weder übertragen noch auf dem Server gespeichert.
Wenn die PIN erstellt wird, stellt sie ein Vertrauensverhältnis mit dem Identitätsanbieter her und erstellt ein asymmetrisches Schlüsselpaar, das für die Authentifizierung verwendet wird. Bei der Eingabe der PIN wird der Authentifizierungsschlüssel entsperrt. Dieser Schlüssel wird zum Signieren der Anforderung verwendet, die an den Authentifizierungsserver gesendet wird.
Hinweis
Details dazu, wie Passport asymmetrische Schlüsselpaare zur Authentifizierung verwendet, finden Sie unter Microsoft Passport-Anleitung.
PINs sind hardwareunterstützt
Die Passport-PIN wird durch einen Trusted Platform Module (TPM)-Chip unterstützt. Bei diesem handelt es sich um einen sicheren Kryptoprozessor, der kryptografische Vorgänge ausführt. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Alle Windows 10 Mobile-Telefone und zahlreiche moderne Laptops verfügen über TPM.
Das Schlüsselmaterial für Benutzer wird im Trusted Platform Module (TPM) des Benutzergeräts generiert und bereitgestellt. Dieses bietet Schutz vor Angreifern, die das Schlüsselmaterial erfassen und wiederverwenden möchten. Da Microsoft Passport asymmetrische Schlüsselpaare verwendet, können die Anmeldeinformationen von Benutzern nicht gestohlen werden, wenn der Identitätsanbieter oder Websites, auf die der Benutzer zugreift, unrechtmäßig verwendet werden.
Das TPM schützt vor einer Vielzahl von unbekannten und potenziellen Angriffen einschließlich Brute-Force-Angriffen auf die PIN. Nach einer zu großen Zahl von Fehlversuchen wird das Gerät gesperrt.
PINs können komplex sein
Die Passport-PIN unterliegt dem gleichen Satz von IT-Verwaltungsrichtlinien wie ein Kennwort, z. B. Komplexität, Länge, Ablauf und Verlauf. Auch wenn wir uns PINs in der Regel als einfachen vierstelligen Code vorstellen, können Administratoren Richtlinien für verwaltete Geräte einrichten, nach denen für PINs eine Komplexität gefordert wird, die der von Kennwörtern vergleichbar ist. Sie können folgende Zeichen fordern oder sperren: Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern.
Was geschieht, wenn der Laptop oder das Telefon gestohlen wird?
Zur unrechtmäßigen Verwendung von Microsoft Passport-Anmeldeinformationen, die von TPM geschützt werden, benötigt ein Angreifer Zugriff auf das physische Gerät und muss dann eine Möglichkeit finden, die biometrischen Daten des Benutzers vorzutäuschen oder seine PIN zu erraten – und zwar bevor das Gerät durch die Anti-Hammering-Funktionen des TPM gesperrt wird. Dadurch sind sehr viel komplexere Angriffstechniken als beispielsweise Kennwort-Phishing erforderlich.
Sie können zusätzlichen Schutz für Laptops ohne TPM bereitstellen, indem Sie BitLocker aktivieren und eine Richtlinie festlegen, mit der die Zahl fehlerhafter Anmeldeversuche begrenzt wird.
.gif "Mt621546.wedge(de-de,VS.85).gif")
Konfigurieren von BitLocker ohne TPM
Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:
Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke > Zusätzliche Authentifizierung beim Start anfordern
Wählen Sie in der Richtlinienoption BitLocker ohne kompatibles TPM zulassen, und klicken Sie anschließend auf OK.
Wechseln Sie zu Systemsteuerung > System und Sicherheit > BitLocker-Laufwerkverschlüsselung, und wählen Sie das Betriebssystemlaufwerk aus, das geschützt werden soll.
Einrichten des Kontensperrschwellenwerts
Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:
Computerkonfiguration >Windows-Einstellungen ?Sicherheitseinstellungen >Kontorichtlinien > Kontosperrungsrichtlinie > Kontensperrschwellenwert
Legen Sie die Anzahl der zulässigen ungültigen Anmeldeversuche fest, und klicken Sie auf OK.
Warum benötigen Sie für die Verwendung von Windows Hello eine PIN?
Windows Hello ist die biometrische Anmeldung bei Microsoft Passport in Windows 10: Fingerabdruck, Iris oder Gesichtserkennung. Wenn Sie Windows Hello einrichten, werden Sie aufgefordert, zunächst eine PIN zu erstellen. Mit dieser PIN können Sie sich mit Passport anmelden, wenn Sie die von Ihnen bevorzugten biometrischen Daten aufgrund einer Verletzung oder der Nichtverfügbarkeit bzw. fehlerhaften Funktion des Sensors nicht verwenden können.
Wenn Sie nur eine biometrische Anmeldung konfigurieren würden und diese Methode aus bestimmten Gründen nicht für die Anmeldung verwenden könnten, müssten Sie sich mit Ihrem Kontonamen und -kennwort anmelden, die nicht den gleichen Schutz wie Passport bereitstellen.