Windows Hello: Microsofts biometrisches Sicherheitssystem erklärt

Windows Hello bietet Windows-Nutzern eine alternative Möglichkeit, sich per Fingerabdruck, Iris-Scan oder Gesichtserkennung bei ihren Geräten anzumelden. [...]

Windows Hello ist sicherer als die herkömmliche Passwort-Methode (c) pixabay.com

Windows Hello ist eine auf Biometrie basierende Technologie, die es Windows 10-Nutzern (und denen, die auf Windows 11 aktualisieren) ermöglicht, den sicheren Zugang zu ihren Geräten, Anwendungen, Online-Diensten und Netzwerken mit nur einem Fingerabdruck, einem Iris-Scan oder einer Gesichtserkennung zu authentifizieren. Der Anmeldemechanismus ist im Wesentlichen eine Alternative zu Passwörtern und gilt weithin als benutzerfreundlichere, sicherere und zuverlässigere Methode für den Zugang zu wichtigen Geräten, Diensten und Daten als herkömmliche Anmeldungen mit Passwörtern.

„Windows Hello löst einige Probleme: Sicherheit und Unbequemlichkeit“, sagt Patrick Moorhead, Präsident und Hauptanalyst bei Moor Insights & Strategy. „Traditionelle Passwörter sind unsicher, da sie schwer zu merken sind, und deshalb wählen die Menschen entweder leicht zu erratende Passwörter oder schreiben ihre Passwörter auf.“

Es ist nicht ungewöhnlich, dass Menschen dasselbe Passwort (oder Variationen davon) für mehrere Websites und Anwendungen verwenden. Windows Hello und andere biometrische Authentifizierungsfunktionen wie Apples Face ID oder Touch ID sollen eine Alternative zu Passwörtern bieten, die einzigartig und sicherer ist, weil sie auf einer Technologie beruht, die schwerer zu knacken ist.

„Da wir in unserem Leben immer mehr davon abhängig sind, online zu sein, sind wir mehr als bereit, mit Passwörtern Schluss zu machen“, sagt Katharine Holdsworth, Principal Group Program Manager, Windows Security.

Passwörter sind lästig und stellen ein Sicherheitsrisiko für Benutzer und Unternehmen jeder Größe dar. …. Mit der Multifaktor-Authentifizierung ist die Wahrscheinlichkeit, dass ein Konto kompromittiert wird, um 99,9 Prozent geringer.“

Wie Windows Hello funktioniert

Windows Hello schränkt die Angriffsfläche für Windows ein, indem es die Notwendigkeit von Passwörtern und anderen Methoden eliminiert, mit denen Identitäten mit größerer Wahrscheinlichkeit gestohlen werden können.

„Windows Hello verwendet strukturiertes 3D-Licht, um ein Modell des Gesichts einer Person zu erstellen, und verwendet dann Anti-Spoofing-Techniken, um den Erfolg von Personen zu begrenzen, die einen falschen Kopf oder eine falsche Maske erstellen, um das System zu täuschen“, sagte Moorhead.

Windows-Benutzer können Windows Hello in den Anmeldeoptionen unter den Kontoeinstellungen einrichten. Die Benutzer müssen einen Gesichtsscan, einen Iris-Scan oder einen Fingerabdruck einrichten, um loszulegen, aber sie können diese Scans jederzeit verbessern und zusätzliche Fingerabdrücke hinzufügen oder entfernen. Nach der Einrichtung genügt ein Blick auf das Gerät oder ein Fingerscan, um den Zugriff auf Microsoft-Konten, Kernanwendungen und Anwendungen von Drittanbietern, die die API nutzen, freizuschalten.

Die Übernahme der FIDO-Spezifikation bedeutet, dass die Partner von Microsoft Sicherheitsschlüssel für eine zusätzliche Schutzebene bei der Anmeldung über Windows Hello bereitstellen können.

Die FIDO-Spezifikation wurde 2014 von der FIDO Alliance entwickelt, der mittlerweile mehr als 250 Unternehmen angehören, die jedoch von PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon und Agnitio gegründet wurde. Nach Angaben der Gruppe ist die FIDO-Authentifizierungstechnologie heute in Hunderten von Geräten verfügbar.

Microsoft hat auch die neueste Version des Sicherheitsprotokolls, FIDO2, unterstützt. Damit können Benutzer auf standardbasierte Geräte wie USB-Sicherheitsschlüssel zugreifen, die bei der Anmeldung bei Microsoft-Konten eine zusätzliche Sicherheitsebene bieten.

Wer nutzt Windows Hello?

Windows Hello ist sowohl für Unternehmen als auch für Verbraucher konzipiert und hat in beiden Bereichen an Zugkraft gewonnen. Auf der Ignite 2017-Konferenz von Microsoft gab das Unternehmen bekannt, dass bereits mehr als 37 Millionen Menschen Windows Hello nutzen und mehr als 200 Unternehmen Windows Hello for Business implementiert haben. (Zu diesem Zeitpunkt umfasste der größte Unternehmenseinsatz außerhalb des IT-Teams von Microsoft nach Angaben des Unternehmens mehr als 25.000 Nutzer.)

Diese Zahlen sind nur gewachsen. Im vergangenen Dezember bezeichnete Microsoft das Jahr 2020 als „bahnbrechendes Jahr“ für Windows Hello, mit mehr als 150 Millionen monatlichen Nutzern ab Mai 2020 – und fast doppelt so vielen bis zum Jahresende.

(c) IDG/Mark Hachman

Warum sollten Sie Windows Hello nutzen?

Passwörter sind, kurz gesagt, lästig. Im Zeitalter des Passwortüberflusses (und der menschlichen Vergesslichkeit) erkennen sicherheitsbewusste Benutzer, dass ein Fingerabdruck, eine Gesichtserkennung oder ein Iris-Scan für den Zugriff auf Geräte, wichtige Konten und Daten wahrscheinlich eine sicherere Option ist. Dennoch bleibt das Passwort „der am häufigsten verwendete Anmeldemechanismus, aber auch eine Quelle der Frustration für Endbenutzer“, so Raúl Castañón, Senior Analyst bei 451 Research, einer Abteilung von S&P Global Market Intelligence.

Microsoft arbeitet mit einer wachsenden Zahl von Dienstanbietern zusammen, um seinen Nutzern eine nahtlosere Methode zur Authentifizierung mehrerer wichtiger Konten mit Windows Hello zu bieten. Alle Microsoft Office-Anwendungen unterstützen Windows Hello, ebenso wie Tools von Drittanbietern wie Dropbox.

Windows Hello wurde auch in Google Chrome integriert und ermöglicht die Authentifizierung von Zahlungen bei der Verwendung des Browsers in Windows.

Was sind die Hardware-Anforderungen?

Windows Hello hat eine relativ niedrige Einstiegshürde, aber es gibt bestimmte Hardwareanforderungen. Microsofts Surface Pro, Surface Book und die meisten Windows 10-PCs, die mit Fingerabdruckscannern oder Kameras ausgestattet sind, die zweidimensionale Infrarotspektroskopie erfassen können, sind mit Windows Hello kompatibel.

Microsoft arbeitet außerdem mit den Geräteherstellern zusammen, um eine einheitliche Leistung und Sicherheit für alle Windows Hello-Benutzer zu gewährleisten, und legt High-Level-Benchmarks und Referenzdesigns fest, um Basisanforderungen zu schaffen. Der akzeptable Leistungsbereich für Fingerabdrucksensoren ist eine Falschakzeptanzrate von weniger als 0,002 Prozent, und der akzeptable Bereich für Gesichtserkennungssensoren ist eine Falschakzeptanzrate von weniger als 0,001 Prozent, so Microsoft. Das bedeutet 1 zu 100.000 für Fingerabdrücke und die Hälfte dieser Rate für die Gesichtserkennung. (Zum Vergleich: Apple gibt an, dass die Wahrscheinlichkeit, Face ID zu überlisten, bei 1 zu 1 Million liegt, während die Wahrscheinlichkeit, Touch ID zu überlisten, bei 1 zu 50.000 liegt).

Darüber hinaus muss die Falschrückweisungsrate für Fingerabdruck- und Gesichtserkennungsscanner ohne Anti-Spoofing oder Liveness Detection unter 5 % liegen. Die Falschrückweisungsrate für Fingerabdruck- und Gesichtserkennungsscanner mit Anti-Spoofing-Technologie muss nach den Richtlinien von Microsoft unter 10 % liegen.

Für diejenigen, die mit dieser Technologie nicht vertraut sind, ist die Lebendigkeitserkennung genau das, wonach sie sich anhört: Sie stellt fest, dass ein Benutzer ein Lebewesen ist, bevor sie ein Gerät oder eine Anwendung entsperrt. Alle Sensoren müssen Maßnahmen zum Schutz vor Spoofing, wie z. B. die Lebendigkeitserkennung, enthalten, aber die Konfiguration dieser Funktionen zum Schutz vor Spoofing ist optional und variiert von System zu System.

Wie ist Windows Hello im Vergleich zu Face ID?

Windows Hello hat keine direkten Konkurrenten, da es ausschließlich auf Windows 10-Geräten zum Einsatz kommt, aber es steht in indirekter Konkurrenz zu Apple, Samsung, Google und anderen, die ähnliche Technologien für ihre Geräte und damit verbundenen Ökosysteme anbieten. Apples Face ID wird inzwischen auf den meisten iPhones und iPads eingesetzt. (Auf den Tablets funktioniert es sogar im Querformat.)

Anwendungen von Drittanbietern wie Dropbox haben ihre Anwendungen mit Face ID-Unterstützung aktualisiert (c) Dropbox

„Windows Hello ist der Biometrie von Apple Face ID und Google Android sehr ähnlich“, sagt Castañon. „Alle drei bieten eine geräteinterne biometrische Authentifizierung; das bedeutet, dass die Gesichts- oder Fingerabdruckdaten verschlüsselt und auf dem Gerät gespeichert werden und nicht auf einem Server, der gehackt werden kann und daher von Natur aus unsicher ist.

Die Popularität von Apples biometrischer Authentifizierung hat wahrscheinlich dazu beigetragen, die Akzeptanz zu fördern, indem sie die Aufmerksamkeit auf die Vorteile der Technologie lenkte.

„Angesichts der Benutzerfreundlichkeit und der Tatsache, dass Apple Face ID – die wohl bekannteste Gesichtsauthentifizierung – diesen Mechanismus bei den Verbrauchern allgemein bekannt gemacht hat, können wir davon ausgehen, dass die Gesichts- und Fingerabdruckauthentifizierung auf dem Gerät weiter an Zugkraft gewinnen wird“, so Castañon.

Laut Moorhead sind Apples Face ID und Fingerabdruck-Scanner die offensichtlichsten Konkurrenten von Windows Hello, obwohl seiner Erfahrung nach Windows bei schlechten Lichtverhältnissen besser funktioniert. „Face ID funktioniert mit Brillen, Windows Hello nicht…. Windows Hello funktioniert gut im Dunkeln. Face ID nicht so sehr“, sagte er. „Weder Windows Hello noch Face ID funktionieren gut bei sehr hellem Licht, aber Fingerabdruck-Scanner funktionieren bei hellem Licht und in der Dunkelheit.“

Wie geht es mit Windows Hello im Unternehmen weiter?

Während Unternehmen von der verbesserten Benutzererfahrung und der Verbesserung profitieren werden, sollte beachtet werden, dass Windows nur eine Schutzschicht auf Geräteebene darstellt.

„Das bedeutet, dass es als Ergänzung – und nicht als Ersatz – für andere Sicherheitsmechanismen gesehen werden sollte, die Unternehmen einsetzen (z. B. auf Anwendungsebene), wie z. B. KI-basierte verhaltensbiometrische Verfahren“, so Castañon.

Microsoft hat angedeutet, dass Windows Hello den Nutzern auch in Windows 11 einen passwortlosen Zugang bieten wird, wobei es vom Trusted Platform Module (TPM), einem Kryptoprozessor-Chip, der in Windows 11-Geräten benötigt wird, profitieren wird. TPM-Chips werden in Hauptplatinen integriert oder zu CPUs hinzugefügt und bieten zusätzliche Sicherheit für Windows Hello-Daten auf Hardware-Ebene.

„Mit Windows 11 werden wir uns weiterhin auf die Sicherheit konzentrieren, um unseren Kunden zu helfen, sicher zu bleiben“, sagte Holdsworth. „Dazu gehören Investitionen in die Sicherheitsfunktionen von Windows 11 und eine neue erforderliche Hardware-Basislinie, um zu gewährleisten, dass wir unseren Kunden Sicherheit bieten, damit sie vor der ständigen und zunehmenden Zahl raffinierter Angriffe geschützt sind.“

*Der freiberufliche Autor Matt Kapko berichtet über Unternehmens-IT für CIO.com und Computerworld.

**Matthew Finnegan berichtet für Computerworld über Collaboration und andere IT-Themen für Unternehmen und lebt in Schweden.


Mehr Artikel

Oliver Köth, Chief Technology Officer, NTT DATA DACH (c) NTT DATA
News

GenAI-Avatare als Webbereiter für die Zukunft

Der Blick in die Zukunft gleicht oftmals einem Blick in die Glaskugel. Dennoch wollen und müssen Unternehmen wissen, was auf sie zukommt, um sich optimal auf neue Herausforderungen einstellen zu können. Generative KI und damit entwickelte Avatare können dabei helfen, indem sie völlig neue Einblicke ermöglichen. NTT DATA beantwortet die wichtigsten Fragen rund um die Methode. ​ […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*