Warum eine PIN besser als ein Kennwort ist

Betrifft

  • Windows10
  • Windows 10 Mobile

Microsoft Hello in Windows 10 ermöglicht Benutzern, sich mit einer PIN am Gerät anzumelden. Inwiefern unterscheidet sich eine PIN von einem Kennwort (und ist besser als ein Kennwort)? Oberflächlich betrachtet ähnelt eine PIN sehr einem Kennwort. Eine PIN kann aus einer Reihe von Zahlen bestehen. Unternehmensrichtlinien lassen jedoch möglicherweise PINs zu, die Sonderzeichen sowie Groß- und Kleinbuchstaben enthalten. Eine Zeichenfolge wie t758A! könnte ein Kontokennwort oder eine komplexe Hello-PIN sein. Eine PIN ist nicht aufgrund ihrer Struktur (Länge, Komplexität) besser als ein Kennwort, sondern aufgrund ihrer Funktionsweise.

Eine PIN ist an das Gerät gebunden.

Ein wichtiger Unterschied zwischen einem Kennwort und einer Hello-PIN ist, dass die PIN an das Gerät gebunden ist, auf dem sie eingerichtet wurde. Diese PIN ist für Dritte ohne diese bestimmte Hardware nutzlos. Eine Person, die Ihr Kennwort stiehlt, kann sich von überall an Ihrem Konto anmelden. Wenn diese Person jedoch ihre PIN stiehlt, muss sie auch das physische Gerät stehlen.

Auch Sie können diese PIN nur auf diesem bestimmten Gerät verwenden. Wenn Sie sich an mehreren Geräten anmelden möchten, müssen Sie Hello auf jedem Gerät einrichten.

PINs werden lokal auf dem Gerät gespeichert

Ein Kennwort wird an den Server übertragen und kann während der Übertragung abgefangen oder vom Server gestohlen werden. Eine PIN wird lokal auf dem Gerät gespeichert und weder übertragen noch auf dem Server gespeichert. Wenn die PIN erstellt wird, stellt sie ein Vertrauensverhältnis mit dem Identitätsanbieter her und erstellt ein asymmetrisches Schlüsselpaar, das für die Authentifizierung verwendet wird. Bei der Eingabe der PIN wird der Authentifizierungsschlüssel entsperrt. Dieser Schlüssel wird zum Signieren der Anforderung verwendet, die an den Authentifizierungsserver gesendet wird.

Hinweis

Ausführliche Informationen dazu, wie Hello asymmetrische Schlüsselpaare zur Authentifizierung verwendet, finden Sie unter Windows Hello for Business.

PINs sind hardwareunterstützt

Die Hello-PIN wird durch einen Trusted Platform Module (TPM)-Chip unterstützt. Bei diesem handelt es sich um einen sicheren Kryptoprozessor, der kryptografische Vorgänge ausführt. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Alle Windows 10 Mobile-Telefone und zahlreiche moderne Laptops verfügen über TPM.

Das Schlüsselmaterial für Benutzer wird im Trusted Platform Module (TPM) des Benutzergeräts generiert und bereitgestellt; dieses bietet Schutz vor Angreifern, die das Schlüsselmaterial erfassen und wiederverwenden möchten. Da Hello asymmetrische Schlüsselpaare verwendet, können die Anmeldeinformationen von Benutzern nicht gestohlen werden, wenn der Identitätsanbieter oder Websites, auf die der Benutzer zugreift, kompromittiert wurden.

Das TPM schützt vor einer Vielzahl von unbekannten und potenziellen Angriffen einschließlich Brute-Force-Angriffen auf die PIN. Nach einer zu großen Zahl von Fehlversuchen wird das Gerät gesperrt.

PINs können komplex sein

Die Windows Hello for Business-PIN unterliegt dem gleichen Satz von IT-Verwaltungsrichtlinien wie ein Kennwort, z. B. bezüglich Komplexität, Länge, Ablauf und Verlauf. Auch wenn wir uns PINs in der Regel als einfachen vierstelligen Code vorstellen, können Administratoren Richtlinien für verwaltete Geräte einrichten, nach denen für PINs eine Komplexität gefordert wird, die der von Kennwörtern vergleichbar ist. Sie können folgende Zeichen fordern oder sperren: Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern.

Was geschieht, wenn der Laptop oder das Telefon gestohlen wird?

Zur unrechtmäßigen Verwendung von Windows Hello-Anmeldeinformationen, die von TPM geschützt werden, benötigt ein Angreifer Zugriff auf das physische Gerät und muss dann eine Möglichkeit finden, die biometrischen Daten des Benutzers vorzutäuschen oder seine PIN zu erraten – und zwar bevor das Gerät durch die Anti-Hammering-Funktionen des TPM gesperrt wird. Sie können zusätzlichen Schutz für Laptops ohne TPM bereitstellen, indem Sie BitLocker aktivieren und eine Richtlinie festlegen, mit der die Zahl fehlerhafter Anmeldeversuche begrenzt wird.

Konfigurieren von BitLocker ohne TPM

  1. Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:

    Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke > Zusätzliche Authentifizierung beim Start anfordern

  2. Wählen Sie in der Richtlinienoption BitLocker ohne kompatibles TPM zulassen, und klicken Sie anschließend auf OK.

  3. Wechseln Sie zu Systemsteuerung > System und Sicherheit > BitLocker-Laufwerkverschlüsselung, und wählen Sie das Betriebssystemlaufwerk aus, das geschützt werden soll. Einrichten des Kontensperrschwellenwerts
  4. Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:

    Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kontosperrungsrichtlinie > Kontensperrungsschwelle

  5. Legen Sie die Anzahl der zulässigen ungültigen Anmeldeversuche fest, und klicken Sie auf OK.

Warum benötigen Sie bei Verwendung von Biometrie eine PIN?

Windows Hello ermöglicht biometrische Anmeldung für Windows 10 per Fingerabdruck, Iris- oder Gesichtserkennung. Wenn Sie Windows Hello einrichten, werden Sie aufgefordert, zunächst eine PIN zu erstellen. Mit dieser PIN können Sie sich anmelden, wenn Sie die von Ihnen bevorzugten biometrischen Daten aufgrund einer Verletzung oder der Nichtverfügbarkeit bzw. fehlerhaften Funktion des Sensors nicht verwenden können.

Wenn Sie nur eine biometrische Anmeldung konfigurieren würden und diese Methode aus bestimmten Gründen nicht für die Anmeldung verwenden könnten, müssten Sie sich mit Ihrem Kontonamen und -kennwort anmelden, die nicht den gleichen Schutz wie Hello bereitstellen.

Verwandte Themen