Macht Microsoft das eigentlich absichtlich?

Windows Hello, bei Benutzung für Anmeldung über Gesicht oder Fungerabdruck, da wird man gezwungen einen PIN einzugeben.
Kann das Ding die Kamera nicht aktivieren (was oft genug passiert) oder erkennt dich nicht (noch nicht passiert, egal wie stark sich das Aussehen ändert), dann wird auf die Eingabe der PIN umgestellt. (nachdem Hello dir einen Spruch zeigte, ala "Stellen sie sicher dass sie sie sind")

Die PIN muß eine 4-stellige Ziffernfolge sein.
Das lässt sich auch nicht mehr abschalten oder ändern. (gpedit.msc > Computer Configuration\Administrative Templates\Windows Components\Windows Hello For Business > PIN Complexity gibt es nicht mehr)

Es gibt doch ein Passwort, mit mehr als nur 4 Ziffern (10^4 Möglichkeiten) und bis da hin muß man sich auch dann erst mühsam durchklicken und bekommt diese unsichere PIN sowieso nicht los.


Man darf ja nichtmal sein Passwort auf die gleiche 4-stellige Zahlenfolge setzen, weil die Passwortregeln das (standardmäßig) verbieten, da zu unsicher. (nur 4 Zeichen, ohne Buchstaben, Groß- und Kleinschreibung und Sonderzeichen)



Vielen Dank für's Zuhören,
aber das musste mal raus.

Quelle


Auch ein interessanter, sicher streitbarer Artikel:
Warum eine PIN besser als ein Kennwort ist

Wenn ich bei mir (ohne dass ich irgendwo dazu etwas eingestellt hätte) auf PIN ändern gehe, kann ich ein Häkchen setzen, dass ich auch Buchstaben einschließen möchte. Und ich kann auch mehr als 4 Zeichen setzen.

Hmmm, was für ein Zufall. Wollte grad noch was zum Post nachtragen.

Nach einem Neustart wurde ich grade gezwungen den PIN zu ändern.

Und dort gab es unten einen Checkbox "Buchstaben erlauben" und bei Eingabe konnte ich auch mehr als 4 Zeichen eingeben.
Bei der Ersteingabe waren es nur genau 4 Zeichen und nur als Zahlen.

Das Einzige was ich geändert hatte, war in den Gruppenrichtlinien die PIN-Wiederherstellung und SmartCar-Funktionen zu deaktivieren.
Und beim Neustart gab es ein BIOS-Update (drum neu gestartet), aber das gab es schon paar Mal, ohne dass sich am PIN was Änderte.



Ich bin mir aber sicher, dass es diesen Haken noch nicht gab, als ich damals, bei Ersteinrichtung auch anschließend versuchte den PIN zu ändern oder zu löschen. (vor über einem Jahr)

Hatte vorhin bissl gegoogelt und nur einen alten Beitrag gefunden, wo das mit den Sicherheitsrichtlinien drin stand, die es aber nicht mehr gab.
Und sonst hieß es überall oft nur "geht nicht".


Nja, wobei das grade kein Grund ist, für ein lokales Konto, wo garnichts übertragen wird.

Aber egal wie der PIN berechnet wird, 10000 Kombinationen durchzuprobieren kann nicht lange dauern,
ausgehend davon, dass ich da anfangs nur genau 4 Zahlen eingeben konnte/musste.

Was jaenicke: ich konnte völlig problemlos auch Buchstaben für die PIN akivieren und benutze für die PIN auch das gleiche Passwort wie fürs Passwort (äh... ihr wisst schon, was ich meine), weil mir die Unterscheidung eh nicht klar ist. Insofern verstehe ich das Problem nicht so ganz.

Mich haben die Patchfragen auch schon genervt. Ich würde aber auch nicht auf die Idee kommen, es zu nutzen.
Naja, bei meiner girokarte ist das ja auch eine PIN, sogar nur Zahlen, aber es gehört halt die Karte dazu, also ja, Hardware Bindung.
Und wenn schon Hardwarebindung, wem nützt das im Sinne eines Schutzes, wenn der Laptop geklaut wird und 4 Zeichen zum Login reichen?
Ist ja auch schön für Windows, wenn es in der Business Edition nennenswerte "Vorteile" gibt, aber es scheint mir schon irgendwie billig.
Wer hat denn von den Postern welche Edition?

Und wie sieht es mit lokale Sicherheit (Hardware gebunden) z.B. bei RDP aus?

Im Prinzip unproblematisch, wenn es z.B. durch eine Teergrube geht. Aber tut es das und wäre es die einzige Möglichkeit und wer kann das überhaupt beurteilen?

Aber das ist so eine Fragen, wo das Kind schon länger im Brunnen liegt oder? Wenn man Pech hat, haben einen eh schon diverse "Freunde" auf Facebook Fotos markiert usw. usf.

Windows 10 Pro 1909

Nja, mein Problem war, dass ich bei Einrichtung damals nur genau 4 Ziffern eingeben konnte/durfte,
ich auch im Netz nichts fand, was das ändert/abschaltet.

Es mich einfach immer wieder ärgerte, dass ich nun immer wieder diese 4 Ziffern eingeben musste, wenn die Gesichtserkennung mal wieder nicht will.
Und es mir nicht logisch vorkommt, dass genau 4 Ziffern (4^10 = 10.000) nicht annähernd so sicher sein kann, wie mindestens 8 Alfanumerische+Sonderzeichen (über 70^8 = 576.480.100.000.000).



Windows 10 Pro 1909



Bei einer Girokarte weiß ich aber, dass es auf der Karte einen Prozessor mit lesegeschütztem Speicher gibt,
wo die PIN und die Loginversuche gespeichert werden.

Bei 3 Mal Falscheingabe, werden die Daten intern gesperrt.
Und da man den Inhalt nicht auslesen kann, ist es "theoretisch" nicht möglich den Speicher vorher zu kopieren, mehrmals die PINs durchzuprobieren,
nach der Sperrung den Speicher zurückzusetzen und es nochmals zu probieren, bis man die 10000 Kombinationen durch hat.

Darum unterstützt Windows Hello auch TPM, womit Bruteforce verhindert werden soll. Mehr weiß ich dazu aber nicht.

Pro bzw. Pro Upgrade bzw. Pro for Refurb ist bei uns zu Hause auf den PCs im Einsatz.

Wenn man sich bei Windows mit einem Microsoft-Account anmeldet, geht die Kombination aus Benutzername und Passwort auf allen Geräten, welche man bei diesem Account angemeldet hat.
Wenn ein Keylogger das Passwort erschnüffelt hat, hat er eventuell Zugriff auf alle Geräte.

Die PIN sowie die Gesichtserkennungsdaten für Windows Hello gelten nur für das eine Gerät und werden im TPM-Chip gespeichert. Es wird nichts über Microsoft gesynct. Bei mehreren PCs kann man pro PC eine eigene PIN vergeben. Das ist zwar aufwändig, aber sicher (wie so oft halt...)
Ein Keylogger hat da normalerweise keinen Zugriff und wenn, dann bringt ihm das nur etwas bei lokalem Zugriff direkt auf das eine Gerät.

Da man die PIN also nur für die sichere Anmeldung an genau diesem PC verwendet, gilt sie als sicherer als eine Anmeldung über Benutzername und Passwort.