Bild 11: Sie können den Windows-Zugriff bei Windows Hello mit einer Face-ID absichern
Quelle: PCtipp.ch
Mit Windows 11 und teilweise mit den letzten Updates von Windows 10, verwenden Sie zwangsweise einen zweiten Faktor bei der Windows-Anmeldung. Ausser dem Passwort für Ihr Windows-Konto «zwingt» Windows Sie zur Nutzung eines weiteren Faktors. Meistens ist das eine vierstellige PIN beim Log-in auf der Oberfläche. Bei Windows Hello können Sie aber auch den weiteren Faktor wechseln, Bild 11. Dabei können Sie etwa Ihre Webcam für eine Face-ID/Gesichtserkennung nutzen oder Sie verwenden einen Fingerabdruckscanner. Den müssen Sie aber extern anschliessen. Einige Notebooks haben diesen eingebaut. Als oberste Sicherheit lässt sich auch ein Hardware-Token verwenden, etwa ein spezieller USB-Stick zur Freigabe.
Passkeys = 2FA?
Sie wurden bestimmt schon öfter aufgefordert, Passkeys für ein Konto anzulegen. Das ist aber keine 2FA, da Passkeys in Zukunft die Passwörter ersetzen sollen und 2FA nur ein Sicherheitszusatz für Passwörter ist. Bei Passkeys wird nach der Anmeldung ein Schlüsselpaar (privater und öffentlicher Schlüssel) zur Authentifizierung generiert. Es wird keine Eingabe mehr verlangt, da der Schlüssel auf dem Gerät des Nutzers liegt. Passkeys gelten als sicherer als Passwörter, da sie nicht anfällig für Phishing oder Passwortlecks sind. Unter Windows beispielsweise werden Passkeys im Zusammenhang mit Windows Hello gespeichert, mit dem sich Nutzer auch beim Start von Windows anmelden, etwa mit einer PIN oder einem biometrischen Verfahren. Um allerdings die Schlüssel auch auf anderen Geräten nutzen zu können, muss man über ein Google-Konto verfügen. Ist das vorhanden, werden alle Passkeys automatisch mit Google synchronisiert und dort verschlüsselt abgelegt. Sollen die Passkeys auf andere Geräte übertragen werden, muss zuvor im Konto zum Beispiel eine Sicherheits-PIN zur Transferfreigabe erstellt werden, Bild 12.
Bild 12: In Ihrem Google-Konto aktivieren Sie die Nutzung von Passkeys, dann reicht eine PIN für den Log-in oder ein biometrischer Faktor
Quelle: PCtipp.ch
Meinung: Besser keine Biometrie nutzen
Als Autor mit über 30 Jahren Erfahrung in der IT-Welt habe ich eine persönliche Abneigung gegen biometrische Verfahren wie Fingerabdruckscanner, Gesichts-ID oder Iris-Scan. Warum? Ich denke, wir Nutzer haben diese Merkmale nur jeweils ein Mal und falls diese ins Internet gelangen, lassen Sie sich nicht mehr ändern. 2018 gab es einen Diebstahl von Teilen einer staatlichen indischen Datenbank mit über einer Million biometrischer Daten. Aktuelle Geräte wie Smartphones grosser Hersteller oder Anbieter wie Google sichern ihre biometrischen Daten bestimmt besser. Aber so lange es Alternativen wie 2FA per SMS, Authenticator-Apps oder Freischalt-Apps gibt, verwende ich diese. Ich nutze die Google Authenticator-App und Notfallcodes, falls ich das Gerät verliere. Auch der Zugriff auf die Authenticator-App auf dem Smartphone ist durch die Privatsphärenfunktion geschützt, mit der ich das Handy entsperre.
