• Hallo Gast, du möchtest medizinische Grundlagenforschung unterstützen und die Chance haben, ein Netzteil, Arbeitsspeicher oder eine CPU-Wasserkühlung von Corsair zu gewinnen? Dann beteilige dich zusammen mit dem PCGH-F@H-Team ab dem 21. September an der Faltwoche zum Weltalzheimertag! Wie das geht, erfährst du in der offiziellen Ankündigung.
  • Hallo Gast, du kaufst gerne günstig ein und erfährst oft vor deinen Freunden von interessanten Angeboten? Dann kannst du dein Talent als Schnäppchenjäger jetzt zu Geld machen und anderen PCGH-Lesern beim Sparen helfen! Schau einfach mal rein - beim Test der Community Deals!

Windows 10: Bald kein Login-Passwort mehr notwendig

PCGH-Redaktion

Kommentar-System
Jetzt ist Ihre Meinung gefragt zu Windows 10: Bald kein Login-Passwort mehr notwendig

Microsoft will zum nächsten großen Update für Windows 10 die Passworteingabe zur Verknüpfung des Microsoft-Accounts abschaffen. Stattdessen will man auf die hauseigene Authentifizierungssoftware Windows Hello setzen, die entweder mit Gesichtserkennung, Fingerabdruck oder PIN funktioniert.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: Windows 10: Bald kein Login-Passwort mehr notwendig
 
D

DaBo87

Guest
Datenschutzbedenken hin oder her, daheim haben wir schon seit über einem Jahr die Hello Gesichtserkennung in Verwendung und ich will gar nicht mehr ohne
 

INU.ID

Moderator
Teammitglied
Ich hab schon seit Mitte 2017 (damals für 19€ gekauft, aktuell ab ~15€ zb. auf ebay verfügbar) einen USB-Fingerabdruck-Scanner, mit dem ich mich unter Win10 anmelden kann. Trotzdem benutze ich schon seit einer Ewigkeit ebenfalls den Pin.
 

Rollora

Kokü-Junkie (m/w)
Mein Win 10 meldet sich automatisch an. Kann man ganz leicht einstellen.
Das kann absolut jede Windowsversion, hier geht es um was anderes ;)

Ich hab schon seit Mitte 2017 (damals für 19€ gekauft, aktuell ab ~15€ zb. auf ebay verfügbar) einen USB-Fingerabdruck-Scanner, mit dem ich mich unter Win10 anmelden kann. Trotzdem benutze ich schon seit einer Ewigkeit ebenfalls den Pin.
Ich hab hier eher das Problem, dass das Notebook in der Arbeit (Elitebook von HP) zwar einen FIngerabdrucksensor hat, aber dieser nicht mehr funktioniert (Treiber lässt sich installieren, aber Win10 schlägt mir statt Fingerabdrucklogin Hello vor und ich habe eigentlic hkeine andere Option)
 
Zuletzt bearbeitet:
B

-BANNED-

Guest
Mein Win 10 meldet sich automatisch an. Kann man ganz leicht einstellen.
Kann man schon ja, aber wer will sowas denn? Ich würde das nicht wollen, wenn ich mir vorstelle das meine Eltern mich mal besuchen kommen und meine Mutter auf die Tastatur drückt und direkt der Desktop mit einer Nackten Frau als Hintergrundbild aufleuchtet. Das sind Momente die will keiner erleben :lol:
 
R

Rotkaeppchen

Guest
Jetzt ist Ihre Meinung gefragt zu Windows 10: Bald kein Login-Passwort mehr notwendig

Stattdessen will man auf die hauseigene Authentifizierungssoftware Windows Hello setzen, die entweder mit Gesichtserkennung, Fingerabdruck oder PIN funktioniert.
Kann man denn den ganzen nervigen Mist abstellen? Für den Rechner zum Surfen, auf dem rein gar nichts an privaten Daten steckt, brauche ich gar keine Sperrung und auch keine Aktivierungspasswort. Geht das dann unter WIN 10 weiterhin?

Und nein Windows, Gesicht und Fingerabdruck bekommt ihr nicht.

Mein Win 10 meldet sich automatisch an. Kann man ganz leicht einstellen.
Jetzt geht es noch, und nach der Änderung?

Datenschutzbedenken hin oder her
Das die heutige Jugend so schnell kapituliert hat, erschreckt mich. Mielke hätte alles gegeben, wenn Menschen freiwillig heutige Smartphone schon zu DDR Zeiten gekauft hätten und freiwillig eine Komplettüberwachung, noch zu ihren Kosten, erlaubt hätten. China zeigt gerade, wo die Reise hingeht. Und hier machen sich Menschen Gedanken, ob die Mutter ein Nacktfoto sieht? Aber das jene, die eine persönliche Bewertung des Nutzers anstellen, das Foto auswerten und die Daten an jeden, der bezahlt, verkaufen, scheint nicht zu stören?
 
Zuletzt bearbeitet von einem Moderator:

Jazz_

Kabelverknoter(in)
Damit wollen die wohl besser Leute verhaften. Mit Gesichtserkennung und Fingerabdruck können die Behörden einen hinter dem Bildschirm sofort erkennen und beweisen, dass diese Person am Computer saß.
 
B

-BANNED-

Guest
Damit wollen die wohl besser Leute verhaften. Mit Gesichtserkennung und Fingerabdruck können die Behörden einen hinter dem Bildschirm sofort erkennen und beweisen, dass diese Person am Computer saß.
daran hab ich garnicht gedacht, mensch wo war nur mein Aluhut....
 
A

Arkintosz

Guest
Stattdessen will man auf die hauseigene Authentifizierungssoftware Windows Hello setzen, die entweder mit Gesichtserkennung, Fingerabdruck oder PIN funktioniert.
Hmmm ja, Kennwörter sind so altmodisch und unsicher. Deshalb darf in Zukunft jeder beim US-Außenamt sein Gesicht und seinen Fingerabdruck registrieren.
Ich denke, Alexa usw. haben den USA gezeigt, dass sie andere gar nicht im Geheimen anzapfen müssen - die rücken die Daten zu ihrer Verfolgung selbst heraus :lol:

Edit: Ach ja, und unser eigener Staat ist ja auch schon total begeistert davon, Zielpersonen verdeckt, unbemerkt und in Höchstgeschwindigkeit zu durchleuchten und Gesprächsverläufe mit arglosen Besuchern direkt mitzuerheben.
 

Zundnadel

Freizeitschrauber(in)
Pin ist ok mach ich ja auch aber wie weit geht der Spass noch ? Postident Webcam Fingerabdruck Pingenerator Headset alles da und der Worst Case tritt ein ich liege im Krankenhaus und niemand kommt ran oder rein ? Nicht mal Microsoft -Google- Android -Provider arbeiten kompatibel miteinander Tethering funktioniert mangelhaft dem Akku geht halbtags der Saft aus. der Wlan Hotspoint ist gestört oder noch im Bau .Erst mal was Hard und Software funktionierendes abliefern bevor inno (ener)viert wird meine ich .
 
R

Rotkaeppchen

Guest
daran hab ich garnicht gedacht, mensch wo war nur mein Aluhut....
Der hilft dann auch nicht mehr ...

Wir sind in einem Zeitalter der Beweisumkehr. Heute gibt es unglaublich viele Indizien, die Behörden sammeln und gegen Dich verwenden, und Du musst Deine Unschuld beweisen. Du macht Dein Telefon aus? Ein klares Indiz, dass Du eine Straftat begehen willst. Du musst es ja nicht verstehen. Es ist Dein Leben, nicht meines.

Alle wehren sich gegen eine Klarnamenanmeldung und melden sich dann mit eindeutigem Gesicht oder Fingerabdruck an. Nein, zum Surfen muss es dann ein Linus Rechner werden. Zum reinen Spielen taugt auch weiter der WIN Rechner und private Daten kommen nie auf einen Rechner mit Internetanschluss.
 
Zuletzt bearbeitet von einem Moderator:
L

Lockidown

Guest
Wir sind in einem Zeitalter der Beweisumkehr. Heute gibt es unglaublich viele Indizien, die Behörden sammeln und gegen Dich verwenden, und Du musst Deine Unschuld beweisen. Du macht Dein Telefon aus? Ein klares Indiz, dass Du eine Straftat begehen willst. Du musst es ja nicht verstehen. Es ist Dein Leben, nicht meines.
bist du dir sicher das du keinen Aluhelm brauchst ? So wie du schreibst hast du große Probleme und Ängste das jeder gegen dich ist. Wenn du nichts tust und den normalen Alltag lebst ( ich tue das z.b. so ) dann bist du für keinen Menschen interessant. Ich bekomme weder ne Spammail noch Werbung im Briefkasten, auch bekomme ich wenige Anrufe oder bin generell interessant. Ich laufe komplett unter dem Radar. Ich habe auch keinen Grund mein Telefon aus zu machen, wofür habe ich es denn?
Alle wehren sich gegen eine Klarnamenanmeldung und melden sich dann mit eindeutigem Gesicht oder Gingerabdruck an. Nein, zum Serfen muss es dann ein Linus Rechner werden. Zum reinen Spielen taugt auch weiter der WIN Rechner und private Daten kommen nie auf einen Rechner mit Internetanschluss.
Das ist schon übertrieben was du da schreibst, ich hab einen PC damit mache ich alles. Und ich lebe damit gut.
 

Leuenzahn

Freizeitschrauber(in)
Kontrolle der Massen. Oder auch Massenüberwachung genannt.

Der "gut gebildete" Bürger von heute läßt sich blaue Haare wachsen, wie ein Schlumpf, und sabbelt rezzomäßig vom Klima, die imaginäre unwissenschaftliche Angst vor dem schwarzen Mann unterm Bett, während bei realen Themen, wie einem weltweiten Überwachsungsgulag, keiner am Freitag auf die Straße geht und singt: "Wer nicht mithüpft, der hilft dem Überwachungsnazi."

Anbei, wer zahlt denn die zusätzliche Hardware? Für den Fingerabdruck oder den Gesichtsscan? Macht das Microsoft? Und wie macht das Microsoft, über höhre Produktpreise? Und was soll die "Pin" auf dem PC, die ist genauso unsicher oder sicher wie ein Paßwort.

Die Verarschung der Massen und der intellektuell im Mittelmaß Agierenden, welche das alles dann noch schönschwafeln ist bemerkenswert. Erinnert eher an Vieh auf einem Bauernhof, was sich noch auf dem Weg zum Schlachthof gegenseitig über den Haufen rennt, weil man dabei noch besonders dumm, "gebildet", und "hot" auf dem Selfie aussieht. Alle machen das, weil der Fernseher oder mein "Influencer" (Influenza ist anbei ein Krankheit) auf Youtube das auch so macht. Total entmenschlicht.
 
C

cryptochrome

Guest
Rein technisch betrachtet speichert Windows Hello weder Euren Fingerabdruck noch Euer Gesicht bei Microsoft (oder sonstwo). Windows Hello generiert aus dem Fingerabdruck (bzw. dem Gesicht) einen Datensatz (um es vereinfacht auszudrücken - so etwas wie einen Salted Hash in Verbindung mit Asymmetrical Keys). Der funktioniert übrigens nur lokal auf dem Rechner, an dem man Windows Hello eingerichtet hat und überträgt sich nicht auf andere Rechner. Der Private Key, der aus den biometrischen Daten erzeugt wird, wird im TPM Chip des Computers gespeichert und verlässt diesen nicht. Nicht man Windows selbst kann den privaten Key auslesen. Windows kennt nur den öffentlichen (und salted) Key.

Wer sich da etwas genauer einlesen möchte:

https://interopevents.com/uploads/659867-The Windows Hello Internals.pdf

Der ganze Prozess ist übrigens vom BSI geprüft und abgesegnet. Ihr könnt die Aluhüte wieder in den Schrank packen :D
 
R

Rotkaeppchen

Guest
bist du dir sicher das du keinen Aluhelm brauchst ?
Ja, denn er wirkt nicht gegen das, wogegen er genutzt wird. :nicken:

Rein technisch betrachtet speichert Windows Hello weder Euren Fingerabdruck noch Euer Gesicht bei Microsoft (oder sonstwo). Windows Hello generiert aus dem Fingerabdruck (bzw. dem Gesicht) einen Datensatz (um es vereinfacht auszudrücken - so etwas wie einen Salted Hash in Verbindung mit Asymmetrical Keys).
So kenne ich das auch, der Schlüssel wird aber im Windows Konto hinterlegt

Die Verarschung der Massen
Für mich geht es immer nur um eine einfache Kosten zu Nutzen Abschätzung. Was ich nicht brauche, bezahle ich nicht, nur damit andere mehr Daten über mich haben und verkaufen. Die Fraged ist doch weniger, was offiziell gemacht wird als was technisch möglich ist. Und es geht auch darum, ein paar Jahre vorauszudenken, was dann möglich ist.


Der ganze Prozess ist übrigens vom BSI geprüft und abgesegnet.
Genauso wie Facebook die Whatsapp Daten niemals in Facebook ergänzen wird. Das ist ja nach Zuckerberg technisch gar nicht möglich.
Schon heute werden Mitbürger vor Demonstrationen festgenommen, damit sie gar nicht zur Demonstration gehen können und dort vielleicht schwere Straftaten wie das Öffnen eines Zaunes begehen. Dazu werden heute schon abertausende Menschen massiv ausspioniert. Weisst Du, ob einer Deiner Freunde vielleicht ein Terrorist ist, oder einer, den der Verfassungsschutz dafür hält? Und dann?

Rechner sind auch heute schon eindeutig zuzuordnen, gerade unseren individuell zusammengestellten. Als böser Butzemann nutzt man natürlich Stangenware ohne irgendwelche Einstellungen, Lesezeichen oder sonstiges. Und zu wissen, welcher Rechner es ist, reicht vor Gericht nicht, um auf eine Person zu schließen.


Du siehst, der Täter redet sich damit raus, dass den Rechner ja irgendwer nutzen konnte. Mit Gesichterkennung wird das schwieriger
OEsterreich: Empfaengerin sexistischer Hassnachrichten wird verklagt - SPIEGEL ONLINE
...
 
Zuletzt bearbeitet von einem Moderator:
R

-RedMoon-

Guest
ich nutze schon schon ewig die Pin Funktion.
Wer nicht möchte, kann (noch immer) das Passwortfeld bei der Passwortvergabe leer lassen und sich ohne Sicherheitsmerkmal an seinem PC anmelden. Also bleibt mal auf dem Teppich, bevor ihr noch anfängt eure Fingerkuppen mit Alufolie auszukleiden oder Omas alte Metallfingerhüte hervorzukramen
 
C

cryptochrome

Guest
Und was soll die "Pin" auf dem PC, die ist genauso unsicher oder sicher wie ein Paßwort.
Das stimmt nicht ganz. Im Gegensatz zu Deinem Account Passwort (das im worst case mit Deinem Microsoft Account verknüpft ist, im besten Fall lokal in der Registry liegt) dient die Pin zum entsperren eines privaten, kryptografischen Schlüssels, der im TPM Chip des Rechners abgelegt ist. Nicht mal das OS selbst kann den privaten Schlüssel lesen. Die Pin schützt Deinen Account also deutlich besser, als jedes Passwort. Selbst wenn jemand Deinen Pin errät oder mitliest, kann er sich damit maximal an diesem einen Rechner anmelden. Nirgendwo sonst. Der damit verknüpfte private Schlüssel ist nach heutigem Kenntnisstand nicht mit vertretbarem Aufwand knackbar, noch kann er aus dem TPM Chip gestohlen werden. Die Hürden und Aufwände dafür wären um einige Hunderttausend mal höher als bei einem normalen Passwort.
 
A

Arkintosz

Guest
Dass der Fingerabdruck nur am lokalen Gerät funktioniert, wenn die Daten im TPM gehalten werden, ist logisch. Allerdings hat kaum ein Rechner ein aktives TPM. Außerdem ist klar, dass das TPM eben nicht trusted ist, weil es intransparent ist und von einer dritten Partei kommt.
Wenn die Daten so auf dem Rechner bleiben, wie es Microsoft bei anderen Daten bei Windows 10 behauptet, dann wäre ich mir sicher, dass sie trotzdem bei Microsoft in den USA auf Servern landen, die von der NSA zwangsweise auch eingesehen werden können.
Und wenn jemand den Salted Hash hat, kann er mit meinem Fingerabdruck natürlich auch nach 50 Jahren noch sicher sagen, dass ich den Rechner benutzt habe, von dem hier und heute "böse Dinge" über Microsoft geschrieben wurden. meiner war, und wenn es dann endlich auch wieder ein paar Arbeitslager für diese schlimmen Buben gibt, die nicht nach der Pfeife der Regierenden tanzen wollen, hätten sie vielleicht einen Insassen mehr.

Das gleiche blüht mir, wenn ich das Haus verlasse, um ein A***ch zu besuchen, das mich nicht darauf hinweist, das es eine Alexa-Wanze installiert hat, oder ohne mich zu fragen, Spracherkennungsfunktionen in meiner Anwesenheit aktiviert, die mich theoretisch in fernerer Zukunft mein Leben kosten könnte, wenn ich falsche Dinge von mir gebe.

Aber tatsächlich ist mir das dermaßen egal geworden, dass ich meine Meinung einfach weiter äußere, egal wie viele Nachteile mir dadurch entstehen - allein deshalb, weil ich weiß, was einem blüht, wenn keiner es tut.
 
C

cryptochrome

Guest
So kenne ich das auch, der Schlüssel wird aber im Windows Konto hinterlegt
Nicht ganz. Nur der öffentliche Schlüssel (public key) wird in Deinem MS Konto hinterlegt, und auch nur dann, wenn Du Dein MS Konto zur Anmeldung verwendest. Der private Schlüssel (private Key) verlässt Deinen Rechner nicht. Ohne den Private Key ist der Public Key vollkommen nutzlos.

Asymmetric Key Encryption... siehe auch PGP. Gleiches Prinzip.
 
C

cryptochrome

Guest
Dass der Fingerabdruck nur am lokalen Gerät funktioniert, wenn die Daten im TPM gehalten werden, ist logisch. Allerdings hat kaum ein Rechner ein aktives TPM. Außerdem ist klar, dass das TPM eben nicht trusted ist, weil es intransparent ist und von einer dritten Partei kommt.
Stimmt nicht ganz. TPM ist ein offener Standard (ISO 11889).

Ob kaum ein Rechner TPM aktiv hat, müsste man mal prüfen. So ziemlich jedes aktuelle Laptop kommt mit einem TPM Chip, und sowohl Intel als auch AMD CPUs integrieren TPM direkt in der CPU (sog. "Firmware TPM").

Aber selbst für den Fall, dass kein TPM aktiv ist, würde es bedeuten, dass ein Dieb, der an den private Key kommt, damit nichts bis gar nichts anfangen kann. Es sei denn, er verfügt über einen Quantencomputer mit dem er die Verschlüsselung knacken könnte.

Wenn die Daten so auf dem Rechner bleiben, wie es Microsoft bei anderen Daten bei Windows 10 behauptet, dann wäre ich mir sicher, dass sie trotzdem bei Microsoft in den USA auf Servern landen, die von der NSA zwangsweise auch eingesehen werden können.
Dass Du Dir persönlich sicher bist, ist aber kein Beleg. Das BSI hatte in seiner Sicherheitsüberprüfung von Windows 10 zwar einiges zu bemängeln, Hinweise darauf, dass biometrische Daten oder Keys aus Windows Hello Richtung Microsoft fließen, konnten jedoch keine gefunden werden. Das BSI empfiehlt den Einsatz von Windows Hello im privaten Umfeld sogar explizit:

BSI fuer Buerger - Ins Internet mit Sicherheit - Sichere Nutzung von Geraeten unter Microsoft Windows 10 - Privatanwender V1.0
 

Leuenzahn

Freizeitschrauber(in)
ich nutze schon schon ewig die Pin Funktion.
Wer nicht möchte, kann (noch immer) das Passwortfeld bei der Passwortvergabe leer lassen und sich ohne Sicherheitsmerkmal an seinem PC anmelden. Also bleibt mal auf dem Teppich, bevor ihr noch anfängt eure Fingerkuppen mit Alufolie auszukleiden oder Omas alte Metallfingerhüte hervorzukramen

Walter Ulbricht am 15. Juni 1961:

"Niemand hat die Absicht, eine Mauer zu errichten." :D

Das Problem sind nicht infantile Idioten, welche denjenigen alles glauben und nachplappern, die meinen mit allen alles machen zu können, das Problem sind diejenigen infantilen Idioten, welche dann auch noch gegen denkende Menschen mit Resthirn vorgehen. (Nicht daß Du oder andere ehrenwerteste Mitglieder des Forums hier dazugehören, im Gegenteil, ich beziehe das natürlich auf Diktaturen.)
 

PCTom

BIOS-Overclocker(in)
Stimmt nicht ganz. TPM ist ein offener Standard (ISO 11889).

Ob kaum ein Rechner TPM aktiv hat, müsste man mal prüfen. So ziemlich jedes aktuelle Laptop kommt mit einem TPM Chip, und sowohl Intel als auch AMD CPUs integrieren TPM direkt in der CPU (sog. "Firmware TPM").

Aber selbst für den Fall, dass kein TPM aktiv ist, würde es bedeuten, dass ein Dieb, der an den private Key kommt, damit nichts bis gar nichts anfangen kann. Es sei denn, er verfügt über einen Quantencomputer mit dem er die Verschlüsselung knacken könnte.



Dass Du Dir persönlich sicher bist, ist aber kein Beleg. Das BSI hatte in seiner Sicherheitsüberprüfung von Windows 10 zwar einiges zu bemängeln, Hinweise darauf, dass biometrische Daten oder Keys aus Windows Hello Richtung Microsoft fließen, konnten jedoch keine gefunden werden. Das BSI empfiehlt den Einsatz von Windows Hello im privaten Umfeld sogar explizit:

BSI fuer Buerger - Ins Internet mit Sicherheit - Sichere Nutzung von Geraeten unter Microsoft Windows 10 - Privatanwender V1.0
PKI halt und MS als Verifizierungsstelle. Ich nutz den PIN eigentlich schon seit Jahren auf all meinen MS Geräten. So neu ist das doch nicht, nur in Hello neu verpackt.
 
Zuletzt bearbeitet:
C

cryptochrome

Guest
PKI halt und MS als Verifizierungsstelle. Ich nutz den PIN eigentlich schon seit Jahren auf all meinen MS Geräten. So neu ist das doch nicht, nur in Hello neu verpackt. VPN über MS läuft ja auch schon seit Jahren mit PKI.
Mit PKI hat das nun allerdings rein gar nichts zu tun. Bie PKI geht es um digitale Zertifikate (z.B. X.509). Bei Windows Hello gibts keine PKI.
 
C

cryptochrome

Guest
Und wie meldest du dich dann an deinem MS Konto an? Wie übermittelst du die Daten an MS?
Nicht über eine PKI. Es gibt keine Möglichkeit, sich per Zertifikat am MS Konto anzumelden.

Man kann sich per Zertifikat an Windows anmelden. Dafür braucht es eine PKI. Die steht im Firmennetz oder bei Azure. Also nichts, was Du als Privatperson verwenden würdest.

Siehe Abschnitt "Konzept":
Public-Key-Infrastruktur – Wikipedia

PKIs werden in der Regel genutzt, um z.B. die Vertrauenswürdigkeit eines Webserver SSL Zertifikates zu prüfen (die PKI ist hier die bestätigende Instanz). Dass digitale X.509 Zertifikate mit asymmetrischen Keys arbeiten, heißt im Umkehrschluss nicht, dass jede Verschlüsselungsmethode, die asymmetrische Keys verwendet, eine PKI benötigt. Die beiden Dinge haben erst mal nichts miteinander zu tun.

Bei Windows Hello kommt keine PKI zum Einsatz. Sie wäre in dem Kontext auch ziemlich nutzlos. Dein Public Key zur Anmeldung an Windows muss nicht von Dritten für Vierte auf Echtheit bestätigt werden. Windows reicht es, dass Du den Public Key hast, mit dem sich die biometrischen Daten zur Anmeldung entsperren lassen. Windows verschlüsselt diese mit Deinem Public Key. Kann sie mit dem Public Key aber nicht entschlüsseln. Dazu braucht es den Private Key. Und den hast Du (im übertragenen Sinne). Eine weitere Identitätsbestätigung (die eine PKI übernimmt) ist gar nicht notwendig.
 

PCTom

BIOS-Overclocker(in)
Nicht über eine PKI. Es gibt keine Möglichkeit, sich per Zertifikat am MS Konto anzumelden.

Man kann sich per Zertifikat an Windows anmelden. Dafür braucht es eine PKI. Die steht im Firmennetz oder bei Azure. Also nichts, was Du als Privatperson verwenden würdest.

Siehe Abschnitt "Konzept":
Public-Key-Infrastruktur – Wikipedia

PKIs werden in der Regel genutzt, um z.B. die Vertrauenswürdigkeit eines Webserver SSL Zertifikates zu prüfen (die PKI ist hier die bestätigende Instanz). Dass digitale X.509 Zertifikate mit asymmetrischen Keys arbeiten, heißt im Umkehrschluss nicht, dass jede Verschlüsselungsmethode, die asymmetrische Keys verwendet, eine PKI benötigt. Die beiden Dinge haben erst mal nichts miteinander zu tun.

Bei Windows Hello kommt keine PKI zum Einsatz. Sie wäre in dem Kontext auch ziemlich nutzlos. Dein Public Key zur Anmeldung an Windows muss nicht von Dritten für Vierte auf Echtheit bestätigt werden. Windows reicht es, dass Du den Public Key hast, mit dem sich die biometrischen Daten zur Anmeldung entsperren lassen. Windows verschlüsselt diese mit Deinem Public Key. Kann sie mit dem Public Key aber nicht entschlüsseln. Dazu braucht es den Private Key. Und den hast Du (im übertragenen Sinne). Eine weitere Identitätsbestätigung (die eine PKI übernimmt) ist gar nicht notwendig.
Wie verifiziert man das kein Dritter "man in the middle" seinen Schlüssel an MS als dein Public Key angiebt und somit Zugriff auf dein Konto bekommt?
 

Mazrim_Taim

BIOS-Overclocker(in)
daran hab ich garnicht gedacht, mensch wo war nur mein Aluhut....
:D

Aber warten wir noch ein paar Jahre.
Ob es dann FB, NSA, ein Erpresser Virus sein wird oder was ganz anders.
Fakt ist wenn es eine genug große Verbreitung gibt passiert früher oder später irgendein Mist.
Solange man zuhause ist sehe ich die Nutzung von PW für Windows nicht wirklich.

...Mist... mein Aluhut glüht :ugly:
 
C

cryptochrome

Guest
Wie verifiziert man das kein Dritter "man in the middle" seinen Schlüssel an MS als dein Public Key angibt und somit Zugriff auf dein Konto bekommt?
Microsoft speichert für das MS Konto, auf das Du hier verweist, weder Deinen Public noch Deinen Private Key. Wenn Du Windows Hello zur Anmeldung am lokalen Rechner verwendest (auch mit einem MS Konto), dann spielt sich das alles ausschließlich auf dem lokalen Rechner ab. Es gibt und braucht keine Dritte Instanz. Windows verschlüsselt Deine "Hello Daten" lokal mit Deinem Public Key und Du meldest Dich lokal durch das entsperren Deines lokalen Private Keys an.

Nur damit wir nicht aneinander vorbeireden: Meine Aussagen beziehen sich ausschließlich auf Windows Hello zur lokalen Anmeldung am Rechner, nicht auf Microsoft's Vorhaben, den MS Account auch außerhalb des Rechners "passwortlos" zu machen. Dort sieht es natürlich vollkommen anders aus (und Dein MITM Einwand berechtigt). Ich beziehe mich nur auf einige der Aussagen hier, dass Microsoft die persönlichen biometrischen Daten (Fingerabdruck etc.) irgendwo bei Microsoft speichert. Da das ziemlich unwahrscheinlich ist, habe ich erklärt, wie asymmetrische Verschlüsselung im Kontext von Windows Hello funktioniert. Und das tut sie komplett ohne PKI. Und ohne die Speicherung von biometrischen Daten bei MS.

Ob MS für das im Artikel diskutierte Vorhaben eine PKI einsetzen wird, halte ich dennoch für sehr unwahrscheinlich. Ich vermute, es wird eher auf FIDO2/Webauthn hinauslaufen (das keine PKI benötigt).
 

PCTom

BIOS-Overclocker(in)
Microsoft speichert für das MS Konto, auf das Du hier verweist, weder Deinen Public noch Deinen Private Key. Wenn Du Windows Hello zur Anmeldung am lokalen Rechner verwendest (auch mit einem MS Konto), dann spielt sich das alles ausschließlich auf dem lokalen Rechner ab. Es gibt und braucht keine Dritte Instanz. Windows verschlüsselt Deine "Hello Daten" lokal mit Deinem Public Key und Du meldest Dich lokal durch das entsperren Deines lokalen Private Keys an.

Nur damit wir nicht aneinander vorbeireden: Meine Aussagen beziehen sich ausschließlich auf Windows Hello zur lokalen Anmeldung am Rechner, nicht auf Microsoft's Vorhaben, den MS Account auch außerhalb des Rechners "passwortlos" zu machen. Dort sieht es natürlich vollkommen anders aus (und Dein MITM Einwand berechtigt). Ich beziehe mich nur auf einige der Aussagen hier, dass Microsoft die persönlichen biometrischen Daten (Fingerabdruck etc.) irgendwo bei Microsoft speichert. Da das ziemlich unwahrscheinlich ist, habe ich erklärt, wie asymmetrische Verschlüsselung im Kontext von Windows Hello funktioniert. Und das tut sie komplett ohne PKI. Und ohne die Speicherung von biometrischen Daten bei MS.

Ob MS für das im Artikel diskutierte Vorhaben eine PKI einsetzen wird, halte ich dennoch für sehr unwahrscheinlich. Ich vermute, es wird eher auf FIDO2/Webauthn hinauslaufen (das keine PKI benötigt).
Die werden wohl lokal bleiben denk auch.
 
R

Rotkaeppchen

Guest
... Das BSI empfiehlt den Einsatz von Windows Hello im privaten Umfeld sogar explizit:...
Es arbeitet doch auch perfekt mit dem Bundestrojaner zusammen :D

Danke für die ganzen Infos, das wird auch alles stimmen, so ganz
überzeugt es mich trotzdem nicht. Da es für mich keinen Mehrwert
bietet und es immer ein Restrisiko gibt halte ich es wie bisher:
Daten, die nicht erzeugt wurden, können nicht missbraucht werden.
 
A

Arkintosz

Guest
Microsoft speichert für das MS Konto, auf das Du hier verweist, weder Deinen Public noch Deinen Private Key.
Woher weißt Du das? Das ist mir noch immer nicht klar. Das sind Aussagen, die jemand vielleicht getätigt hat - einen Beweis gibt es nicht.
Das ist so wie wenn ich schreiben würde, dass mein Bios mir nichts böses wolle. Aber faktisch wurde es mir nur über ungesicherte Leitungen, ohne Hashes, Verschlüsselung oder Signaturen bereitgestellt. Es hätte sich also jeder dazwischenschalten und die Datei einfach austauschen können, selbst wenn ich dem Mainboard-Hersteller sogar vertrauen würde.
Und wenn jemandem das bekannt ist, und er dennoch seine IT nicht umstellt, dann ist das aus meiner Sicht gewollt manipulierbar - wenn jemand das anders sehen möchte, darf er das auch.

Du hast das Problem, dass Du gläubig sein musst, um zu behaupten, das Microsoft das nicht täte. Schaut man sich die Analysen des BSI an, basieren sie ebenfalls auf Erkentnissen der Untersuchung einer Blackbox. Das OS wurde - Anhaltspunkten aus den Berichten zu Folge - in einer VM installiert und von Verbindungsdaten wurden von außen untersucht.
Ich bin mir sicher, dass das BSI nicht garantieren kann, dass die Blackbox sich nicht ortsgebunden, zeitgebunden oder je nachdem, wer sich gerade einloggt, plötzlich anders verhalten kann, als im Untersuchungszeitraum.
Wenn das BSI wenigstens den kompletten Quellcode hätte, müsste ich nur noch dem BSI vertrauen - das würde das Problem leicht eingrenzen, weil es sicherlich Wirtschaftsspionage verhindern möchte und die ist in der Regel gleich ausgelegt wie die Spionage in Privathaushalten.

Ich beziehe mich nur auf einige der Aussagen hier, dass Microsoft die persönlichen biometrischen Daten (Fingerabdruck etc.) irgendwo bei Microsoft speichert. Da das ziemlich unwahrscheinlich ist [...]
Von mir kamen solche Aussagen sicher nicht. Aber es ist technisch möglich, weil Microsoft das Gegenteil nicht bewiesen hat. Und dass etwas eintritt, was möglich ist, hat sogar eine Wahrscheinlichkeit von 100%, wenn der Zeitraum gegen unendlich geht.
Das hat man in der Praxis schon bei Alexa kürzlich gesehen.

Wie kann man nach PRISM behaupten, es wäre unwahrscheinlich, dass eine in den USA ansässige Firma derartige Daten sammelt und ohne Wissen des Besitzers herausgibt? Ich persönlich schätze es, alleine weil es geht, und weil das Gegenteil nicht bewiesen wurde, als wahrscheinlich an.
 

RyzA

PCGH-Community-Veteran(in)
Bei Fingerabdruck und Gesichtserkennung bin ich sehr skeptisch.
Ich benutze ich gar kein Windows PW.
Habe hier auch nichts zu verbergen.:)
 

Asuramaru

PC-Selbstbauer(in)
Hab auch kein PW am Rechner da ich allein Wohne und ich mich mit Internet-Security bestens auskenne,da hat so schnell keiner eine Chance.Aber Passwörter sind wirklich eine Veraltete Funktion.

Also reintechnisch gesehen Fingerabduck kann man Fälschen und Gesichtserkennung wird schon schwerer,Stimmen Erkennung ist ganz schlimm,ich kann ständig das hallo Google von einen Kumpel steuern und am Sichersten könnte vielleicht eine DNA Identifikation sein.

Klingt vielleicht erstmal abgedreht aber eine DNA ist nicht so leicht zu klauen und beim Fälschen wirds noch schwerer.

Wenn sich jemand bei PCGH mit PW Anmeldet ist easy.
Mit Stimme anmeldet kann man das File klauen,wird ja auch gespeichert auf Servern.
Anmeldung,mit FIngerabdruck,auch der wird irgendwo geeichert und Fingerabdruck ist nicht schwer zu Fälschen.
Anmeldung mit Geischtserkennung ist auch nicht so schwer zu umgehen.
Und bei der Anmeldung mit DNA oder einer Iris (Auge) Prüfung,das ist dann schon fast Unmöglich zu knacken.
 
Zuletzt bearbeitet:

RyzA

PCGH-Community-Veteran(in)
Mit Stimme anmeldet kann man das File klauen,wird ja auch gespeichert auf Servern.
In der letzten Stern TV Sendung hatten sie gezeigt das Sprachassistenten wie Google und Siri wohl Sprachdateien auf ihren Servern speichern.
Man kann die selber löschen . Nur ist es wohl schwierig die Einstellungen zu finden.
Wie das bei Cortana ist weiß ich aber nicht.
Ich habe den Mist eh abgeschaltet. Ich nutze keine Sprachassistenten.
 
Oben Unten