Seite 4 von 5 12345
  1. #31
    Avatar von PCTom
    Mitglied seit
    31.08.2007
    Ort
    X <--- an der markierten Stelle ;)
    Beiträge
    4.164

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Zitat Zitat von cryptochrome Beitrag anzeigen
    Nicht über eine PKI. Es gibt keine Möglichkeit, sich per Zertifikat am MS Konto anzumelden.

    Man kann sich per Zertifikat an Windows anmelden. Dafür braucht es eine PKI. Die steht im Firmennetz oder bei Azure. Also nichts, was Du als Privatperson verwenden würdest.

    Siehe Abschnitt "Konzept":
    Public-Key-Infrastruktur – Wikipedia

    PKIs werden in der Regel genutzt, um z.B. die Vertrauenswürdigkeit eines Webserver SSL Zertifikates zu prüfen (die PKI ist hier die bestätigende Instanz). Dass digitale X.509 Zertifikate mit asymmetrischen Keys arbeiten, heißt im Umkehrschluss nicht, dass jede Verschlüsselungsmethode, die asymmetrische Keys verwendet, eine PKI benötigt. Die beiden Dinge haben erst mal nichts miteinander zu tun.

    Bei Windows Hello kommt keine PKI zum Einsatz. Sie wäre in dem Kontext auch ziemlich nutzlos. Dein Public Key zur Anmeldung an Windows muss nicht von Dritten für Vierte auf Echtheit bestätigt werden. Windows reicht es, dass Du den Public Key hast, mit dem sich die biometrischen Daten zur Anmeldung entsperren lassen. Windows verschlüsselt diese mit Deinem Public Key. Kann sie mit dem Public Key aber nicht entschlüsseln. Dazu braucht es den Private Key. Und den hast Du (im übertragenen Sinne). Eine weitere Identitätsbestätigung (die eine PKI übernimmt) ist gar nicht notwendig.
    Wie verifiziert man das kein Dritter "man in the middle" seinen Schlüssel an MS als dein Public Key angiebt und somit Zugriff auf dein Konto bekommt?

    • Bitte einloggen, um diese Anzeige auszublenden.
  2. #32

    Mitglied seit
    23.09.2008
    Liest
    PCGH.de & Heft
    Beiträge
    3.214

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Zitat Zitat von -BANNED- Beitrag anzeigen
    daran hab ich garnicht gedacht, mensch wo war nur mein Aluhut....


    Aber warten wir noch ein paar Jahre.
    Ob es dann FB, NSA, ein Erpresser Virus sein wird oder was ganz anders.
    Fakt ist wenn es eine genug große Verbreitung gibt passiert früher oder später irgendein Mist.
    Solange man zuhause ist sehe ich die Nutzung von PW für Windows nicht wirklich.

    ...Mist... mein Aluhut glüht
    Rechner 1: AMD Ryzen 7 2700X, GTX 1080, 32GB DDR4-3200 CL15-15-15, SB ZxR
    Rechner 2: Intel i7 5820K @ 3,8Ghz, AMD RX 480 8GB, 32GB DDR4-2400, CL16-16-16
    Rechner 3: AMD 2400G, 8GB DDR4-3200 CL16-16-16 => HTPC
    aktive Konsolen: PS3, PS4 & XBox One

  3. #33
    Avatar von cryptochrome
    Mitglied seit
    17.02.2016
    Liest
    PCGH.de
    Ort
    Mannheim
    Beiträge
    321

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Zitat Zitat von PCTom Beitrag anzeigen
    Wie verifiziert man das kein Dritter "man in the middle" seinen Schlüssel an MS als dein Public Key angibt und somit Zugriff auf dein Konto bekommt?
    Microsoft speichert für das MS Konto, auf das Du hier verweist, weder Deinen Public noch Deinen Private Key. Wenn Du Windows Hello zur Anmeldung am lokalen Rechner verwendest (auch mit einem MS Konto), dann spielt sich das alles ausschließlich auf dem lokalen Rechner ab. Es gibt und braucht keine Dritte Instanz. Windows verschlüsselt Deine "Hello Daten" lokal mit Deinem Public Key und Du meldest Dich lokal durch das entsperren Deines lokalen Private Keys an.

    Nur damit wir nicht aneinander vorbeireden: Meine Aussagen beziehen sich ausschließlich auf Windows Hello zur lokalen Anmeldung am Rechner, nicht auf Microsoft's Vorhaben, den MS Account auch außerhalb des Rechners "passwortlos" zu machen. Dort sieht es natürlich vollkommen anders aus (und Dein MITM Einwand berechtigt). Ich beziehe mich nur auf einige der Aussagen hier, dass Microsoft die persönlichen biometrischen Daten (Fingerabdruck etc.) irgendwo bei Microsoft speichert. Da das ziemlich unwahrscheinlich ist, habe ich erklärt, wie asymmetrische Verschlüsselung im Kontext von Windows Hello funktioniert. Und das tut sie komplett ohne PKI. Und ohne die Speicherung von biometrischen Daten bei MS.

    Ob MS für das im Artikel diskutierte Vorhaben eine PKI einsetzen wird, halte ich dennoch für sehr unwahrscheinlich. Ich vermute, es wird eher auf FIDO2/Webauthn hinauslaufen (das keine PKI benötigt).

  4. #34
    Avatar von PCTom
    Mitglied seit
    31.08.2007
    Ort
    X <--- an der markierten Stelle ;)
    Beiträge
    4.164

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Zitat Zitat von cryptochrome Beitrag anzeigen
    Microsoft speichert für das MS Konto, auf das Du hier verweist, weder Deinen Public noch Deinen Private Key. Wenn Du Windows Hello zur Anmeldung am lokalen Rechner verwendest (auch mit einem MS Konto), dann spielt sich das alles ausschließlich auf dem lokalen Rechner ab. Es gibt und braucht keine Dritte Instanz. Windows verschlüsselt Deine "Hello Daten" lokal mit Deinem Public Key und Du meldest Dich lokal durch das entsperren Deines lokalen Private Keys an.

    Nur damit wir nicht aneinander vorbeireden: Meine Aussagen beziehen sich ausschließlich auf Windows Hello zur lokalen Anmeldung am Rechner, nicht auf Microsoft's Vorhaben, den MS Account auch außerhalb des Rechners "passwortlos" zu machen. Dort sieht es natürlich vollkommen anders aus (und Dein MITM Einwand berechtigt). Ich beziehe mich nur auf einige der Aussagen hier, dass Microsoft die persönlichen biometrischen Daten (Fingerabdruck etc.) irgendwo bei Microsoft speichert. Da das ziemlich unwahrscheinlich ist, habe ich erklärt, wie asymmetrische Verschlüsselung im Kontext von Windows Hello funktioniert. Und das tut sie komplett ohne PKI. Und ohne die Speicherung von biometrischen Daten bei MS.

    Ob MS für das im Artikel diskutierte Vorhaben eine PKI einsetzen wird, halte ich dennoch für sehr unwahrscheinlich. Ich vermute, es wird eher auf FIDO2/Webauthn hinauslaufen (das keine PKI benötigt).
    Die werden wohl lokal bleiben denk auch.

  5. #35
    Avatar von interessierterUser
    Mitglied seit
    18.11.2014
    Beiträge
    16.020

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Zitat Zitat von cryptochrome Beitrag anzeigen
    ... Das BSI empfiehlt den Einsatz von Windows Hello im privaten Umfeld sogar explizit:...
    Es arbeitet doch auch perfekt mit dem Bundestrojaner zusammen

    Danke für die ganzen Infos, das wird auch alles stimmen, so ganz
    überzeugt es mich trotzdem nicht. Da es für mich keinen Mehrwert
    bietet und es immer ein Restrisiko gibt halte ich es wie bisher:
    Daten, die nicht erzeugt wurden, können nicht missbraucht werden.

  6. #36
    Avatar von T-MAXX
    Mitglied seit
    09.08.2008
    Ort
    Norden Deutschlands
    Beiträge
    1.103

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Ich nutze gar kein Passwort.
    Was wäre unsere Erde ohne Menschen? Ein Paradies für die Fauna und Flora...

  7. #37
    Arkintosz
    Gast

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Zitat Zitat von cryptochrome Beitrag anzeigen
    Microsoft speichert für das MS Konto, auf das Du hier verweist, weder Deinen Public noch Deinen Private Key.
    Woher weißt Du das? Das ist mir noch immer nicht klar. Das sind Aussagen, die jemand vielleicht getätigt hat - einen Beweis gibt es nicht.
    Das ist so wie wenn ich schreiben würde, dass mein Bios mir nichts böses wolle. Aber faktisch wurde es mir nur über ungesicherte Leitungen, ohne Hashes, Verschlüsselung oder Signaturen bereitgestellt. Es hätte sich also jeder dazwischenschalten und die Datei einfach austauschen können, selbst wenn ich dem Mainboard-Hersteller sogar vertrauen würde.
    Und wenn jemandem das bekannt ist, und er dennoch seine IT nicht umstellt, dann ist das aus meiner Sicht gewollt manipulierbar - wenn jemand das anders sehen möchte, darf er das auch.

    Du hast das Problem, dass Du gläubig sein musst, um zu behaupten, das Microsoft das nicht täte. Schaut man sich die Analysen des BSI an, basieren sie ebenfalls auf Erkentnissen der Untersuchung einer Blackbox. Das OS wurde - Anhaltspunkten aus den Berichten zu Folge - in einer VM installiert und von Verbindungsdaten wurden von außen untersucht.
    Ich bin mir sicher, dass das BSI nicht garantieren kann, dass die Blackbox sich nicht ortsgebunden, zeitgebunden oder je nachdem, wer sich gerade einloggt, plötzlich anders verhalten kann, als im Untersuchungszeitraum.
    Wenn das BSI wenigstens den kompletten Quellcode hätte, müsste ich nur noch dem BSI vertrauen - das würde das Problem leicht eingrenzen, weil es sicherlich Wirtschaftsspionage verhindern möchte und die ist in der Regel gleich ausgelegt wie die Spionage in Privathaushalten.

    Zitat Zitat von cryptochrome Beitrag anzeigen
    Ich beziehe mich nur auf einige der Aussagen hier, dass Microsoft die persönlichen biometrischen Daten (Fingerabdruck etc.) irgendwo bei Microsoft speichert. Da das ziemlich unwahrscheinlich ist [...]
    Von mir kamen solche Aussagen sicher nicht. Aber es ist technisch möglich, weil Microsoft das Gegenteil nicht bewiesen hat. Und dass etwas eintritt, was möglich ist, hat sogar eine Wahrscheinlichkeit von 100%, wenn der Zeitraum gegen unendlich geht.
    Das hat man in der Praxis schon bei Alexa kürzlich gesehen.

    Wie kann man nach PRISM behaupten, es wäre unwahrscheinlich, dass eine in den USA ansässige Firma derartige Daten sammelt und ohne Wissen des Besitzers herausgibt? Ich persönlich schätze es, alleine weil es geht, und weil das Gegenteil nicht bewiesen wurde, als wahrscheinlich an.

  8. #38
    Avatar von RyzA
    Mitglied seit
    11.11.2008
    Liest
    PCGH.de
    Ort
    Herford (OWL) - In der schönen Provinz
    Beiträge
    10.974

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Bei Fingerabdruck und Gesichtserkennung bin ich sehr skeptisch.
    Ich benutze ich gar kein Windows PW.
    Habe hier auch nichts zu verbergen.
    AMD R7 2700X | Asus X470-F Gaming | 16GB Corsair 3000Mhz CL16 | Sapphire Nitro RX580 8GB | 1TB Samsung Evo 860 | 1 TB WD Blue | Be Quiet E11 550W | Fractal Design Define C | LG 24" FHD 144Hz
    Meine kleine Computer-History: hier

    "Es ist nicht wichtig, wie langsam du gehst, sofern du nicht stehen bleibst." - Konfuzius


  9. #39
    Avatar von Asuramaru
    Mitglied seit
    03.05.2017
    Beiträge
    390

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Hab auch kein PW am Rechner da ich allein Wohne und ich mich mit Internet-Security bestens auskenne,da hat so schnell keiner eine Chance.Aber Passwörter sind wirklich eine Veraltete Funktion.

    Also reintechnisch gesehen Fingerabduck kann man Fälschen und Gesichtserkennung wird schon schwerer,Stimmen Erkennung ist ganz schlimm,ich kann ständig das hallo Google von einen Kumpel steuern und am Sichersten könnte vielleicht eine DNA Identifikation sein.

    Klingt vielleicht erstmal abgedreht aber eine DNA ist nicht so leicht zu klauen und beim Fälschen wirds noch schwerer.

    Wenn sich jemand bei PCGH mit PW Anmeldet ist easy.
    Mit Stimme anmeldet kann man das File klauen,wird ja auch gespeichert auf Servern.
    Anmeldung,mit FIngerabdruck,auch der wird irgendwo geeichert und Fingerabdruck ist nicht schwer zu Fälschen.
    Anmeldung mit Geischtserkennung ist auch nicht so schwer zu umgehen.
    Und bei der Anmeldung mit DNA oder einer Iris (Auge) Prüfung,das ist dann schon fast Unmöglich zu knacken.
    Geändert von Asuramaru (15.07.2019 um 09:59 Uhr)
    „Wenn jemand inkompetent ist, dann kann er nicht wissen, dass er inkompetent ist. […] Die Fähigkeiten, die man braucht, um eine richtige Lösung zu finden, [sind] genau jene Fähigkeiten, die man braucht, um eine Lösung als richtig zu erkennen.“
    – David Dunning

    • Bitte einloggen, um diese Anzeige auszublenden.
  10. #40
    Avatar von RyzA
    Mitglied seit
    11.11.2008
    Liest
    PCGH.de
    Ort
    Herford (OWL) - In der schönen Provinz
    Beiträge
    10.974

    AW: Windows 10: Bald kein Login-Passwort mehr notwendig

    Zitat Zitat von Asuramaru Beitrag anzeigen
    Mit Stimme anmeldet kann man das File klauen,wird ja auch gespeichert auf Servern.
    In der letzten Stern TV Sendung hatten sie gezeigt das Sprachassistenten wie Google und Siri wohl Sprachdateien auf ihren Servern speichern.
    Man kann die selber löschen . Nur ist es wohl schwierig die Einstellungen zu finden.
    Wie das bei Cortana ist weiß ich aber nicht.
    Ich habe den Mist eh abgeschaltet. Ich nutze keine Sprachassistenten.
    AMD R7 2700X | Asus X470-F Gaming | 16GB Corsair 3000Mhz CL16 | Sapphire Nitro RX580 8GB | 1TB Samsung Evo 860 | 1 TB WD Blue | Be Quiet E11 550W | Fractal Design Define C | LG 24" FHD 144Hz
    Meine kleine Computer-History: hier

    "Es ist nicht wichtig, wie langsam du gehst, sofern du nicht stehen bleibst." - Konfuzius


Seite 4 von 5 12345

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •