Warum eine PIN besser als ein Kennwort istWhy a PIN is better than a password

BetrifftApplies to

  • Windows 10Windows10

Mit Windows Hello in Windows10 können sich Benutzer über eine PIN bei Ihrem Gerät anmelden.Windows Hello in Windows10 enables users to sign in to their device using a PIN. Inwiefern unterscheidet sich eine PIN von einem Kennwort (und ist besser als ein Kennwort)?How is a PIN different from (and better than) a password? Oberflächlich betrachtet ähnelt eine PIN sehr einem Kennwort.On the surface, a PIN looks much like a password. Eine PIN kann aus einer Reihe von Zahlen bestehen. Unternehmensrichtlinien lassen jedoch möglicherweise PINs zu, die Sonderzeichen sowie Groß- und Kleinbuchstaben enthalten.A PIN can be a set of numbers, but enterprise policy might allow complex PINs that include special characters and letters, both upper-case and lower-case. Eine Zeichenfolge wie t758A!Something like t758A! könnte ein Kontokennwort oder eine komplexe Hello-PIN sein.could be an account password or a complex Hello PIN. Eine PIN ist nicht aufgrund ihrer Struktur (Länge, Komplexität) besser als ein Kennwort, sondern aufgrund ihrer Funktionsweise.It isn't the structure of a PIN (length, complexity) that makes it better than a password, it's how it works.

Beobachten Sie, wie Dana Huang erklärt, warum eine Windows Hello for Business-Pin sicherer als ein Kennwort ist.Watch Dana Huang explain why a Windows Hello for Business PIN is more secure than a password.

Eine PIN ist an das Gerät gebunden.PIN is tied to the device

Ein wichtiger Unterschied zwischen einem Kennwort und einer Hello-PIN ist, dass die PIN an das Gerät gebunden ist, auf dem sie eingerichtet wurde.One important difference between a password and a Hello PIN is that the PIN is tied to the specific device on which it was set up. Diese PIN ist für Dritte ohne diese bestimmte Hardware nutzlos.That PIN is useless to anyone without that specific hardware. Eine Person, die Ihr Kennwort stiehlt, kann sich von überall an Ihrem Konto anmelden. Wenn diese Person jedoch ihre PIN stiehlt, muss sie auch das physische Gerät stehlen.Someone who steals your password can sign in to your account from anywhere, but if they steal your PIN, they'd have to steal your physical device too!

Auch Sie können diese PIN nur auf diesem bestimmten Gerät verwenden.Even you can't use that PIN anywhere except on that specific device. Wenn Sie sich an mehreren Geräten anmelden möchten, müssen Sie Hello auf jedem Gerät einrichten.If you want to sign in on multiple devices, you have to set up Hello on each device.

PINs werden lokal auf dem Gerät gespeichertPIN is local to the device

Ein Kennwort wird an den Server übertragen und kann während der Übertragung abgefangen oder vom Server gestohlen werden.A password is transmitted to the server -- it can be intercepted in transmission or stolen from a server. Eine PIN wird lokal auf dem Gerät gespeichert und weder übertragen noch auf dem Server gespeichert.A PIN is local to the device -- it isn't transmitted anywhere and it isn't stored on the server. Wenn die PIN erstellt wird, stellt sie ein Vertrauensverhältnis mit dem Identitätsanbieter her und erstellt ein asymmetrisches Schlüsselpaar, das für die Authentifizierung verwendet wird.When the PIN is created, it establishes a trusted relationship with the identity provider and creates an asymmetric key pair that is used for authentication. Bei der Eingabe der PIN wird der Authentifizierungsschlüssel entsperrt. Dieser Schlüssel wird zum Signieren der Anforderung verwendet, die an den Authentifizierungsserver gesendet wird.When you enter your PIN, it unlocks the authentication key and uses the key to sign the request that is sent to the authenticating server.

Hinweis

Ausführliche Informationen dazu, wie Hello asymmetrische Schlüsselpaare zur Authentifizierung verwendet, finden Sie unter Windows Hello for Business.For details on how Hello uses asymetric key pairs for authentication, see Windows Hello for Business.  

PINs sind hardwareunterstütztPIN is backed by hardware

Die Hello-PIN wird durch einen Trusted Platform Module (TPM)-Chip unterstützt. Bei diesem handelt es sich um einen sicheren Kryptoprozessor, der kryptografische Vorgänge ausführt.The Hello PIN is backed by a Trusted Platform Module (TPM) chip, which is a secure crypto-processor that is designed to carry out cryptographic operations. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren.The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM. Alle Windows10-Mobiltelefone und viele moderne Laptops verfügen über TPM.All Windows10 Mobile phones and many modern laptops have TPM.

Das Schlüsselmaterial für Benutzer wird im Trusted Platform Module (TPM) des Benutzergeräts generiert und bereitgestellt; dieses bietet Schutz vor Angreifern, die das Schlüsselmaterial erfassen und wiederverwenden möchten.User key material is generated and available within the Trusted Platform Module (TPM) of the user device, which protects it from attackers who want to capture the key material and reuse it. Da Hello asymmetrische Schlüsselpaare verwendet, können Benutzeranmeldeinformationen nicht gestohlen werden, wenn der Identitätsanbieter oder die Websites, auf die der Benutzer zugreift, kompromittiert wurden.Because Hello uses asymmetric key pairs, users credentials can't be stolen in cases where the identity provider or websites the user accesses have been compromised.

Das TPM schützt vor einer Vielzahl von unbekannten und potenziellen Angriffen einschließlich Brute-Force-Angriffen auf die PIN.The TPM protects against a variety of known and potential attacks, including PIN brute-force attacks. Nach einer zu großen Zahl von Fehlversuchen wird das Gerät gesperrt.After too many incorrect guesses, the device is locked.

PINs können komplex seinPIN can be complex

Die Windows Hello for Business-PIN unterliegt dem gleichen Satz von IT-Verwaltungsrichtlinien wie ein Kennwort, z. B. bezüglich Komplexität, Länge, Ablauf und Verlauf.The Windows Hello for Business PIN is subject to the same set of IT management policies as a password, such as complexity, length, expiration, and history. Auch wenn wir uns PINs in der Regel als einfachen vierstelligen Code vorstellen, können Administratoren Richtlinien für verwaltete Geräte einrichten, nach denen für PINs eine Komplexität gefordert wird, die der von Kennwörtern vergleichbar ist.Although we generally think of a PIN as a simple four-digit code, administrators can set policies for managed devices to require a PIN complexity similar to a password. Sie können folgende Zeichen fordern oder sperren: Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern.You can require or block: special characters, uppercase characters, lowercase characters, and digits.

Was geschieht, wenn der Laptop oder das Telefon gestohlen wird?What if someone steals the laptop or phone?

Um eine Windows Hello-Anmeldeinformationen zu gefährden, die von TPM geschützt werden, muss ein Angreifer Zugriff auf das physikalische Gerät haben und dann eine Möglichkeit finden, die Biometrie des Benutzers zu spoofen oder seine PIN zu erraten – und dies alles muss erfolgen, bevor das Gerät durch den TPM-Schutz gegen hämmern gesperrt wird.To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user's biometrics or guess his or her PIN—and all of this must be done before TPM anti-hammering protection locks the device. Sie können zusätzlichen Schutz für Laptops ohne TPM bereitstellen, indem Sie BitLocker aktivieren und eine Richtlinie festlegen, mit der die Zahl fehlerhafter Anmeldeversuche begrenzt wird.You can provide additional protection for laptops that don't have TPM by enabling BitLocker and setting a policy to limit failed sign-ins.

Konfigurieren von BitLocker ohne TPMConfigure BitLocker without TPM

  1. Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

    Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke > Zusätzliche Authentifizierung beim Start anfordernComputer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Require additional authentication at startup

  2. Wählen Sie in der Richtlinienoption BitLocker ohne kompatibles TPM zulassen, und klicken Sie anschließend auf OK.In the policy option, select Allow BitLocker without a compatible TPM, and then click OK.

  3. Wechseln Sie zu Systemsteuerung > System und Sicherheit > BitLocker-Laufwerkverschlüsselung, und wählen Sie das Betriebssystemlaufwerk aus, das geschützt werden soll.Go to Control Panel > System and Security > BitLocker Drive Encryption and select the operating system drive to protect. Einrichten des KontensperrschwellenwertsSet account lockout threshold

  4. Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

    Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kontosperrungsrichtlinie > KontensperrungsschwelleComputer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy > Account lockout threshold

  5. Legen Sie die Anzahl der zulässigen ungültigen Anmeldeversuche fest, und klicken Sie auf OK.Set the number of invalid logon attempts to allow, and then click OK.

Warum benötigen Sie bei Verwendung von Biometrie eine PIN?Why do you need a PIN to use biometrics?

Windows Hello ermöglicht biometrische Anmeldung für Windows10: Fingerabdruck, Iris oder Gesichtserkennung.Windows Hello enables biometric sign-in for Windows10: fingerprint, iris, or facial recognition. Wenn Sie Windows Hello einrichten, werden Sie aufgefordert, zunächst eine PIN zu erstellen.When you set up Windows Hello, you're asked to create a PIN first. Mit dieser Pin können Sie sich mit der PIN anmelden, wenn Sie Ihre bevorzugte biometrische Daten aufgrund einer Verletzung nicht verwenden können oder weil der Sensor nicht verfügbar ist oder nicht ordnungsgemäß funktioniert.This PIN enables you to sign in using the PIN when you can't use your preferred biometric because of an injury or because the sensor is unavailable or not working properly.

Wenn Sie nur eine biometrische Anmeldung konfigurieren würden und diese Methode aus bestimmten Gründen nicht für die Anmeldung verwenden könnten, müssten Sie sich mit Ihrem Kontonamen und -kennwort anmelden, die nicht den gleichen Schutz wie Hello bereitstellen.If you only had a biometric sign-in configured and, for any reason, were unable to use that method to sign in, you would have to sign in using your account and password, which doesn't provide you the same level of protection as Hello.

Verwandte ThemenRelated topics