Warum eine PIN besser als ein Onlinekennwort ist

Betrifft

  • Windows 10
  • Windows 11

Microsoft Hello in Windows 10 ermöglicht Benutzern, sich mit einer PIN am Gerät anzumelden. Wie unterscheidet sich eine PIN von einem lokalen Kennwort (und ist besser als ein lokales Kennwort? Oberflächlich betrachtet ähnelt eine PIN sehr einem Kennwort. Eine PIN kann aus einer Reihe von Zahlen bestehen. Unternehmensrichtlinien lassen jedoch möglicherweise PINs zu, die Sonderzeichen sowie Groß- und Kleinbuchstaben enthalten. Eine Zeichenfolge wie t758A! könnte ein Kontokennwort oder eine komplexe Hello-PIN sein. Es ist nicht die Struktur einer PIN (Länge, Komplexität), die sie besser macht als ein Onlinekennwort, es ist ihre Funktionsweise. Zunächst müssen wir zwischen zwei Arten von Kennwörtern unterscheiden: local Kennwörter werden anhand des Kennwortspeichers des Computers überprüft, während online Kennwörter für einen Server überprüft werden. In diesem Artikel werden hauptsächlich die Vorteile einer PIN gegenüber einem Onlinekennwort behandelt und auch, warum sie als noch besser als ein lokales Kennwort betrachtet werden kann.

Sehen Sie sich DanaAuf an, warum eine Windows Hello for Business-PIN sicherer als ein Onlinekennwort ist.

Eine PIN ist an das Gerät gebunden.

Ein wichtiger Unterschied zwischen einem Onlinekennwort und einer Hello-PIN besteht darin, dass die PIN an das gerät gebunden ist, auf dem sie eingerichtet wurde. Diese PIN ist für Dritte ohne diese bestimmte Hardware nutzlos. Jemand, der Ihr Onlinekennwort stiehlt, kann sich von überall aus bei Ihrem Konto anmelden, aber wenn er Ihre PIN stiehlt, müsste er auch Ihr physisches Gerät stehlen!

Auch Sie können diese PIN nur auf diesem bestimmten Gerät verwenden. Wenn Sie sich an mehreren Geräten anmelden möchten, müssen Sie Hello auf jedem Gerät einrichten.

PINs werden lokal auf dem Gerät gespeichert

Ein Onlinekennwort wird an den Server übertragen– es kann bei der Übertragung abgefangen oder von einem Server gestohlen werden. Eine PIN wird lokal auf dem Gerät gespeichert und weder übertragen noch auf dem Server gespeichert. Wenn die PIN erstellt wird, stellt sie ein Vertrauensverhältnis mit dem Identitätsanbieter her und erstellt ein asymmetrisches Schlüsselpaar, das für die Authentifizierung verwendet wird. Bei der Eingabe der PIN wird der Authentifizierungsschlüssel entsperrt. Dieser Schlüssel wird zum Signieren der Anforderung verwendet, die an den Authentifizierungsserver gesendet wird. Beachten Sie jedoch, dass lokale Kennwörter zwar auch lokal auf dem Gerät sind, aber immer noch weniger sicher als eine PIN sind, wie im nächsten Abschnitt beschrieben.

Hinweis

Ausführliche Informationen dazu, wie Hello asymmetrische Schlüsselpaare zur Authentifizierung verwendet, finden Sie unter Windows Hello for Business.

PINs sind hardwareunterstützt

Die Hello-PIN wird durch einen Trusted Platform Module (TPM)-Chip unterstützt. Bei diesem handelt es sich um einen sicheren Kryptoprozessor, der kryptografische Vorgänge ausführt. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Viele moderne Geräte verfügen über TPM. Windows 10 hat dagegen einen Fehler, dass lokale Kennwörter nicht mit TPM verknüpft werden. Dies ist der Grund, warum PINs als sicherer als lokale Kennwörter gelten.

Das Schlüsselmaterial für Benutzer wird im Trusted Platform Module (TPM) des Benutzergeräts generiert und bereitgestellt; dieses bietet Schutz vor Angreifern, die das Schlüsselmaterial erfassen und wiederverwenden möchten. Da Hello asymmetrische Schlüsselpaare verwendet, können Benutzeranmeldeinformationen nicht gestohlen werden, wenn der Identitätsanbieter oder websites, auf die der Benutzer zugreift, kompromittiert wurden.

Das TPM schützt vor einer Vielzahl von unbekannten und potenziellen Angriffen einschließlich Brute-Force-Angriffen auf die PIN. Nach einer zu großen Zahl von Fehlversuchen wird das Gerät gesperrt.

PINs können komplex sein

Die Windows Hello for Business-PIN unterliegt dem gleichen Satz von IT-Verwaltungsrichtlinien wie ein Kennwort, z. B. bezüglich Komplexität, Länge, Ablauf und Verlauf. Auch wenn wir uns PINs in der Regel als einfachen vierstelligen Code vorstellen, können Administratoren Richtlinien für verwaltete Geräte einrichten, nach denen für PINs eine Komplexität gefordert wird, die der von Kennwörtern vergleichbar ist. Sie können folgende Zeichen fordern oder sperren: Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern.

Was geschieht, wenn der Laptop oder das Telefon gestohlen wird?

Um eine Windows Hello Anmeldeinformationen zu kompromittieren, die TPM schützt, muss ein Angreifer Zugriff auf das physische Gerät haben und dann eine Möglichkeit finden, biometrische Daten des Benutzers zu spoofen oder seine PIN zu erraten. All dies muss geschehen, bevor der ANTI-Hammering-Schutz des TPM das Gerät sperrt. Sie können zusätzlichen Schutz für Laptops ohne TPM bereitstellen, indem Sie BitLocker aktivieren und eine Richtlinie festlegen, mit der die Zahl fehlerhafter Anmeldeversuche begrenzt wird.

Konfigurieren von BitLocker ohne TPM

  1. Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:

    Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke > Zusätzliche Authentifizierung beim Start anfordern

  2. Wählen Sie in der Richtlinienoption BitLocker ohne kompatibles TPM zulassen, und klicken Sie anschließend auf OK.

  3. Wechseln Sie zu Systemsteuerung > System und Sicherheit > BitLocker-Laufwerkverschlüsselung, und wählen Sie das Betriebssystemlaufwerk aus, das geschützt werden soll.

Einrichten des Kontensperrschwellenwerts

  1. Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:

    Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kontosperrungsrichtlinie > Kontensperrungsschwelle

  2. Legen Sie die Anzahl der zulässigen ungültigen Anmeldeversuche fest, und klicken Sie auf OK.

Warum benötigen Sie bei Verwendung von Biometrie eine PIN?

Windows Hello ermöglicht biometrische Anmeldung für Windows 10 per Fingerabdruck, Iris- oder Gesichtserkennung. Wenn Sie Windows Hello einrichten, werden Sie aufgefordert, zunächst eine PIN zu erstellen. Mit dieser PIN können Sie sich mithilfe der PIN anmelden, wenn Sie Ihre bevorzugten biometrischen Daten aufgrund einer Verletzung oder weil der Sensor nicht verfügbar ist oder nicht ordnungsgemäß funktioniert.

Wenn Sie nur eine biometrische Anmeldung konfigurieren würden und diese Methode aus bestimmten Gründen nicht für die Anmeldung verwenden könnten, müssten Sie sich mit Ihrem Kontonamen und -kennwort anmelden, die nicht den gleichen Schutz wie Hello bereitstellen.

Verwandte Themen