Warum eine PIN besser ist als ein Onlinekennwort

Microsoft Hello in Windows 10 ermöglicht Benutzern, sich mit einer PIN am Gerät anzumelden. Wie unterscheidet sich eine PIN von einem lokalen Kennwort und ist besser als ein lokales Kennwort? Oberflächlich betrachtet ähnelt eine PIN sehr einem Kennwort. Eine PIN kann aus einer Reihe von Zahlen bestehen. Unternehmensrichtlinien lassen jedoch möglicherweise PINs zu, die Sonderzeichen sowie Groß- und Kleinbuchstaben enthalten. Eine Zeichenfolge wie t758A! könnte ein Kontokennwort oder eine komplexe Hello-PIN sein. Es ist nicht die Struktur einer PIN (Länge, Komplexität), die sie besser macht als ein Onlinekennwort, es ist ihre Funktionsweise. Zunächst müssen wir zwischen zwei Arten von Kennwörtern unterscheiden: local Kennwörter werden anhand des Kennwortspeichers des Computers überprüft, während online Kennwörter für einen Server überprüft werden. Dieser Artikel behandelt hauptsächlich die Vorteile, die eine PIN gegenüber einem Onlinekennwort hat, und warum sie noch besser als ein lokales Kennwort betrachtet werden kann.

Sehen Sie, wie Dana Huang erklärt, warum eine Windows Hello for Business PIN sicherer ist als ein Online-Kennwort.

Eine PIN ist an das Gerät gebunden.

Ein wichtiger Unterschied zwischen einem Onlinekennwort und einer Hello-PIN besteht darin, dass die PIN an das bestimmte Gerät gebunden ist, auf dem sie eingerichtet wurde. Diese PIN ist für Dritte ohne diese bestimmte Hardware nutzlos. Jemand, der Ihr Online-Kennwort stiehlt, kann sich von überall aus bei Ihrem Konto anmelden, aber wenn sie Ihre PIN stehlen, müssen sie auch Ihr physisches Gerät stehlen!

Auch Sie können diese PIN nur auf diesem bestimmten Gerät verwenden. Wenn Sie sich an mehreren Geräten anmelden möchten, müssen Sie Hello auf jedem Gerät einrichten.

PINs werden lokal auf dem Gerät gespeichert

Ein Online-Kennwort wird an den Server übertragen – es kann bei der Übertragung abgefangen oder von einem Server gestohlen werden. Eine PIN wird lokal auf dem Gerät gespeichert und weder übertragen noch auf dem Server gespeichert. Wenn die PIN erstellt wird, stellt sie ein Vertrauensverhältnis mit dem Identitätsanbieter her und erstellt ein asymmetrisches Schlüsselpaar, das für die Authentifizierung verwendet wird. Bei der Eingabe der PIN wird der Authentifizierungsschlüssel entsperrt. Dieser Schlüssel wird zum Signieren der Anforderung verwendet, die an den Authentifizierungsserver gesendet wird. Beachten Sie jedoch, dass lokale Kennwörter zwar auch lokal auf dem Gerät vorhanden sind, aber dennoch weniger sicher sind als eine PIN, wie im nächsten Abschnitt beschrieben.

Hinweis

Ausführliche Informationen dazu, wie Hello asymmetrische Schlüsselpaare zur Authentifizierung verwendet, finden Sie unter Windows Hello for Business.

PINs sind hardwareunterstützt

Die Hello-PIN wird durch einen Trusted Platform Module (TPM)-Chip unterstützt. Bei diesem handelt es sich um einen sicheren Kryptoprozessor, der kryptografische Vorgänge ausführt. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Viele moderne Geräte verfügen über TPM. Windows 10 weist hingegen den Fehler auf, dass lokale Kennwörter nicht mit TPM verknüpft werden. Aus diesem Grund gelten PINs als sicherer als lokale Kennwörter.

Das Schlüsselmaterial für Benutzer wird im Trusted Platform Module (TPM) des Benutzergeräts generiert und bereitgestellt; dieses bietet Schutz vor Angreifern, die das Schlüsselmaterial erfassen und wiederverwenden möchten. Da Hello asymmetrische Schlüsselpaare verwendet, können Benutzeranmeldeinformationen nicht gestohlen werden, wenn der Identitätsanbieter oder die Websites, auf die der Benutzer zugreift, kompromittiert wurden.

Das TPM schützt vor einer Vielzahl von unbekannten und potenziellen Angriffen einschließlich Brute-Force-Angriffen auf die PIN. Nach einer zu großen Zahl von Fehlversuchen wird das Gerät gesperrt.

PINs können komplex sein

Die Windows Hello for Business-PIN unterliegt dem gleichen Satz von IT-Verwaltungsrichtlinien wie ein Kennwort, z. B. bezüglich Komplexität, Länge, Ablauf und Verlauf. Auch wenn wir uns PINs in der Regel als einfachen vierstelligen Code vorstellen, können Administratoren Richtlinien für verwaltete Geräte einrichten, nach denen für PINs eine Komplexität gefordert wird, die der von Kennwörtern vergleichbar ist. Sie können folgende Zeichen fordern oder sperren: Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern.

Was geschieht, wenn der Laptop oder das Telefon gestohlen wird?

Um eine Windows Hello Anmeldeinformationen zu kompromittieren, die tpm schützt, muss ein Angreifer Zugriff auf das physische Gerät haben und dann eine Möglichkeit finden, die biometrischen Daten des Benutzers zu fälschen oder seine PIN zu erraten . All dies muss geschehen, bevor der TPM-Anti-Hammering-Schutz das Gerät sperrt. Sie können zusätzlichen Schutz für Laptops ohne TPM bereitstellen, indem Sie BitLocker aktivieren und eine Richtlinie festlegen, mit der die Zahl fehlerhafter Anmeldeversuche begrenzt wird.

Konfigurieren von BitLocker ohne TPM

  1. Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:

    Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > BitLocker-Laufwerkverschlüsselung > Betriebssystemlaufwerke > Zusätzliche Authentifizierung beim Start anfordern

  2. Wählen Sie in der Richtlinienoption BitLocker ohne kompatibles TPM zulassen, und klicken Sie anschließend auf OK.

  3. Wechseln Sie zu Systemsteuerung > System und Sicherheit > BitLocker-Laufwerkverschlüsselung, und wählen Sie das Betriebssystemlaufwerk aus, das geschützt werden soll.

Einrichten des Kontensperrschwellenwerts

  1. Verwenden Sie den lokalen Gruppenrichtlinien-Editor (gpedit.msc), um die folgende Richtlinie zu aktivieren:

    Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kontosperrungsrichtlinie > Kontensperrungsschwelle

  2. Legen Sie die Anzahl der zulässigen ungültigen Anmeldeversuche fest, und klicken Sie auf OK.

Warum benötigen Sie bei Verwendung von Biometrie eine PIN?

Windows Hello ermöglicht biometrische Anmeldung für Windows 10 per Fingerabdruck, Iris- oder Gesichtserkennung. Wenn Sie Windows Hello einrichten, werden Sie aufgefordert, zunächst eine PIN zu erstellen. Mit dieser PIN können Sie sich mit der PIN anmelden, wenn Sie Ihre bevorzugte biometrische Daten aufgrund einer Verletzung nicht verwenden können, weil der Sensor nicht verfügbar ist oder nicht ordnungsgemäß funktioniert.

Wenn Sie nur eine biometrische Anmeldung konfigurieren würden und diese Methode aus bestimmten Gründen nicht für die Anmeldung verwenden könnten, müssten Sie sich mit Ihrem Kontonamen und -kennwort anmelden, die nicht den gleichen Schutz wie Hello bereitstellen.

Verwandte Themen