2525693

Windows Hello: Ohne Passwort sicher am PC anmelden

14.08.2020 | 08:03 Uhr | Peter Stelzel-Morawietz

Windows 10 loggt Sie automatisch ein, sobald Sie sich vor Ihren Rechner setzen oder Ihren Finger auf den Sensor von Notebook, Tastatur oder Maus legen. Wir erklären die Technik von „Windows Hello“ und stellen die weiteren Möglichkeiten zum schnellen Anmelden vor.

Per Passwort lassen sich Windows-PCs schon immer schützen, doch die aktuelle Version des Betriebssystems bietet zusätzlich weitere Möglichkeiten. Insbesondere das Einloggen über die biometrischen Benutzermerkmale Augeniris, Gesicht oder Fingerabdruck ist sicherer und wesentlich schneller als das manuelle Einloggen.

Unser Ratgeber erklärt alle Anmeldeoptionen von Windows 10 und nennt die Hardwarevoraussetzungen für die Nutzung von Windows Hello. Doch selbst wenn Ihr PC oder Notebook keine passende Kamera und keinen Fingerabdrucksensor haben, können Sie letzteren günstig nachrüsten. Alternativ konfigurieren Sie einen x-beliebigen USB-Stick so, dass er als Hardware-Token zum Anmelden ohne PIN- oder Passworteingabe fungiert.

Passwort und PIN ähneln sich, funktionieren unterschiedlich

Eine PIN als Geräteschutz beschleunigt die Windows-Anmeldung und ist daher sinnvoll, erforderlich ist sie – anders als von Microsoft dargestellt – jedoch nicht.
Vergrößern Eine PIN als Geräteschutz beschleunigt die Windows-Anmeldung und ist daher sinnvoll, erforderlich ist sie – anders als von Microsoft dargestellt – jedoch nicht.

Die Kontenrubrik in der Einstellungen-App von Windows 10 stellt die Zentrale für alle Einstellungen in den Benutzerkonten und Anmeldeoptionen dar. „Ihre Infos“ zeigt zunächst die Art Ihres Kontos an, also „lokales Konto“ oder „Microsoft-Konto“. Nachträglich ändern lässt sich die Kontenart über die Funktion „Stattdessen mit einem lokalen Konto / Microsoft-Konto anmelden“. Dass die Umstellung hin zum Microsoft-, also zum Onlinekonto die Eingabe des persönlichen Passwortes erfordert, versteht sich von selbst. Darüber hinaus wirbt Microsoft mit dem Hinweis „PIN erstellen“ für die schnelle und sichere Anmeldung über die „Windows-Hello-PIN“.

Weshalb empfiehlt Microsoft zusätzlich zum Passwort die PIN und wodurch unterscheiden sich PIN und Passwort? Auf den ersten Blick nämlich ähneln sich beide sehr, auch weil sowohl PIN als auch Passwort aus Buchstaben, Ziffern und Sonderzeichen bestehen dürfen. Doch während das Passwort wie üblich das Onlinekonto absichert, ist die PIN an dasjenige Gerät gebunden, auf dem sie erstellt wird. Während ein gestohlenes Passwort das Anmelden also von jedem anderen Gerät ermöglicht, ist die PIN ohne die individuelle Hardware wertlos.

Die PIN ist außerdem nur lokal gespeichert, wird also nicht über das Internet übertragen und lässt sich somit auch nicht abfangen. Deshalb kann die PIN kürzer als ein sicheres Onlinekennwort sein. Schließlich erfordert die PIN-Anmeldung keine Bestätigung mit der Enter-Taste, sodass eine PIN zusätzlich zum Kennwort durchaus sinnvoll ist – erforderlich ist dies aber trotz anderslautendem Windows-Hinweis nicht.

Aus dem Funktionsunterschied zwischen PIN und Passwort folgt zweierlei: Erstens erfordert jedes Gerät seine eigene PIN, und zweitens ändern sich diese PINs auch dann nicht, wenn man das Passwort für sein Konto wechselt oder auf ein lokales Benutzerkonto ohne Kennwort umstellt. Wichtig ist deshalb, sich die jeweiligen Gerätecodes sicher einzuprägen, wenn Sie die Funktion in der Einstellungen-App über „Konten –› Anmeldeoptionen –› Windows Hello-PIN“ aktivieren.

Windows Hello: Erkennung von Gesicht oder Fingerabdruck

Welche Anmeldung mit Windows Hello unterstützt der PC? Immer möglich ist die Geräte- PIN, hinzukommt hier der Fingerabdruck. Die verbaute Webcam dagegen reicht nicht.
Vergrößern Welche Anmeldung mit Windows Hello unterstützt der PC? Immer möglich ist die Geräte- PIN, hinzukommt hier der Fingerabdruck. Die verbaute Webcam dagegen reicht nicht.

Immer wieder heißt es, Windows Hello sei ein biometrisches Authentifizierungssystem, das die PC-Anmeldung über das Erkennen des Gesichts, des Fingerabdrucks oder der Iris ermögliche. Das leistet Windows Hello zwar auch, aber eben nicht nur. Auch die im Absatz zuvor beschriebene PIN ist Teil von Windows Hello, schließlich wird der Zugangscode ja auf der Hardware gespeichert und ist an diese gekoppelt. Das Gleiche gilt für die Gesichtserkennung und den Fingerabdruck: Ohne ordnungsgemäßes Entsperren kein Zugang zum Gerät, das Deaktivieren oder Entfernen von Kamera oder Fingersensor nützt da nichts.

Voraussetzung für die Nutzung der biometrischen Anmeldeverfahren ist neben kompatibler Hardware der Einsatz der 64-Bit-Variante von Windows 10. Die läuft allerdings ohnehin auf praktisch allen PCs. Entscheidend ist also die Geräteausstattung, hier gilt es, zwischen Hello-fähiger Kamera und Fingerprint-Reader zu unterscheiden. Für die Gesichtserkennung reichen die einfachen Webcams der meisten Notebooks nicht aus. Vielmehr muss die Kamera Infrarot unterstützen, damit sie den Nutzer dreidimensional erfassen kann und das unberechtigte Einloggen beispielsweise durch ein vor die Linse gehaltenes Foto unterbindet. Es gibt nur vergleichsweise wenige Geräte mit Gesichtsauthentifizierung (www.pcwelt.de/Ls7MT_), unter ihnen immerhin auch Microsofts Surface-Go-Tablets, die bereits ab 500 Euro erhältlich sind. Sehr viel größer ist die Verbreitung der Fingersensoren, mehr als ein Drittel der derzeit angebotenen Notebooks verfügt über ein solches Lesegerät. Ob und gegebenenfalls welche der beiden Hello-Methoden Ihr Computer unterstützt, zeigen die „Anmeldeoptionen“ in der Einstellungen-App. Fehlt bei Ihnen jede biometrische Option, können Sie den Fingerprint-Sensor schon ab 20 Euro nachrüsten (siehe Kasten unten).

Der Finger muss für die Authentifizierung durch Windows Hello mehrfach auf den Sensor gelegt, neu positioniert und bewegt werden, bis er zuverlässig eingelesen und gespeichert ist.
Vergrößern Der Finger muss für die Authentifizierung durch Windows Hello mehrfach auf den Sensor gelegt, neu positioniert und bewegt werden, bis er zuverlässig eingelesen und gespeichert ist.

Hinweis: Die Authentifizierung über die Augeniris wird kaum noch angewendet, weil sie lediglich von ganz wenigen Geräten unterstützt wird.

Siehe auch: Benutzer ohne Microsoft-Konto anlegen

So richten Sie die automatische Windows-Anmeldung ein

Arbeiten Sie mit einem lokalen Benutzerkonto ohne Kennwort, müssen Sie das für das Einrichten von Windows Hello zunächst einmal mittels „Anmeldeoptionen –› Kennwort –› Hinzufügen –› Fertigstellen“ vergeben. Im Anschluss daran klicken Sie in den „Anmeldeoptionen“ auf die Methode Ihrer Wahl, zum Beispiel die Erkennung per Fingerabdruck. Fahren Sie mit „Einrichten –› Los geht’s“ fort, legen Sie Ihren (Zeige-)Finger auf den Sensor und folgen Sie nun den weiteren Anweisungen. Dazu gehört mehrfaches Auflegen und Bewegen. Ist Ihr Finger erfasst, blendet Windows 10 den Hinweis „Noch ein paar Dinge …“ ein. Hierzu gehört zwingend, zusätzlich eine PIN zu vergeben, falls die Erkennung einmal nicht funktioniert oder der Sensor ausfällt. Brillenträgern, die die Gesichtserkennung nutzen, sei bei der Einrichtung außerdem die Option „Erkennung verbessern“ sowie der Blick in die Kamera ohne Brille empfohlen. Ab sofort können Sie sich nach dem Einschalten des Rechners oder dem zwischenzeitlichen Sperren des Bildschirmes über den Shortcut Win-L (für „Lock“) durch Auflegen Ihres Fingers beziehungsweise den Blick in die Kamera blitzschnell anmelden. 

Beides funktioniert in der Praxis schnell und zuverlässig. Über die automatische Authentifizierung hinaus können Sie sich bei gesperrtem Rechner beziehungsweise Konto weiterhin mit Passwort oder PIN anmelden. Falls gewünscht, können Sie mehrere Fingerabdrücke oder Gesichter einem Konto zuordnen, die Hello-Anmeldung für unterschiedliche Accounts einrichten und auch wieder vom Gerät löschen.

Die weiteren Anmeldeoptionen und ein Missverständnis

Zwei weitere Anmeldeverfahren komplettieren die Liste der Anmeldeoptionen von Windows 10, nämlich „Bildcode“ und „Sicherheitsschlüssel“. Der „Bildcode“, bei dem Sie die Maus zum Entsperren nach einem zuvor von Ihnen festgelegten Muster über ein Foto ziehen, funktioniert zwar, erweist sich allerdings als nicht sonderlich schnell und praktisch.

FIDO2-Token wie der abgebildete Yubico Security Key eignen sich zum Anmelden bei Onlinediensten, derzeit aber nicht – wie von Microsoft suggeriert – zum Anmelden am Windows-PC.
Vergrößern FIDO2-Token wie der abgebildete Yubico Security Key eignen sich zum Anmelden bei Onlinediensten, derzeit aber nicht – wie von Microsoft suggeriert – zum Anmelden am Windows-PC.

Eine flottere Anmeldung verspricht auch der sogenannte Sicherheitsschlüssel. Die Idee dahinter ist, sich über einen USB-Token durch einfaches Einstecken in den PC und damit ebenfalls ohne Passwort anmelden zu können. Zum unbefugten Einloggen müssten Diebe den Schlüssel also physisch stehlen, was de facto sehr viel schwieriger ist als der Passwortdiebstahl über das Internet. Doch anders als von Microsoft durch die Auflistung zusammen mit den übrigen Anmeldemethoden suggeriert, eignet sich ein solcher Sicherheitsschlüssel nicht zum Einloggen am Windows-PC.

Denn die Tokens, die den neuen Authentifizierungsstandard FIDO2 („Fast Identity Online 2“) unterstützen, erleichtern zwar das sichere Einloggen bei den Onlinediensten von Dropbox, Google oder Microsoft. Die Computeranmeldung funktioniert damit aktuell aber weder in Windows 10 Version 1909 noch in der jetzt aktuellen Version 2004. Mehr über das FIDO2-Verfahren lesen Sie hier . Doch mit USB Logon  steht ein kleines Tool für genau diesen Zweck zur Verfügung: Die Software generiert aus jedem gewöhnlichen USB-Stick einen Sicherheitsschlüssel für das automatische Anmelden bei Windows. Einmal konfiguriert, entsperrt er Ihren Computer durch einfaches Einstecken.

Fido 2: Was taugt die neue Anmeldetechnik ohne Passwort?

Das kleine Tool USB Logon konfiguriert USB-Sticks so, dass Sie den PC durch simples Einstecken des Sticks und ohne Passwort entsperren.
Vergrößern Das kleine Tool USB Logon konfiguriert USB-Sticks so, dass Sie den PC durch simples Einstecken des Sticks und ohne Passwort entsperren.

So geht’s: Installieren und starten Sie USB Logon, stecken Sie einen USB-Stick ins Laufwerk, markieren Sie auf der Tooloberfläche Stick und Laufwerk und fahren Sie mit „Gerät konfigurieren –› Ja“, Eingabe Ihres Windows-Kennworts und „OK“ fort. Dieses wird verschlüsselt auf dem Stick gespeichert. Klicken Sie nun noch auf das Zahnradsymbol rechts oben im Toolfenster und aktivieren Sie alle drei Optionen. Damit meldet Windows Sie automatisch an, sobald Sie den USB-Stick einstecken, und sperrt den PC wieder, wenn Sie ihn abziehen. Angst vor Verlust oder Diebstahl des Sticks müssen Sie insofern nicht haben, weil Sie sich selbst jederzeit mit Ihrem Passwort einloggen können. Wenn Sie zudem das Passwort ändern oder USB Logon über die Systemsteuerung deinstallieren, erweist sich der Stick selbst in falschen Händen an Ihrem Computer als wertlos. 

Samsung hat das neue Galaxy Note 20 und Galaxy Note 20 Ultra vorgestellt - doch damit hätten wir nicht gerechnet: Beide Geräte haben jede Menge tolle Features an Board und trotzdem sind wir auch ein bisschen enttäuscht. Was wir an den neuen Flaggschiffen von Samsung zu kritisieren haben, erklärt euch Dennis in diesem Video.  ► Technikliebe HIER ABONNIEREN: www.youtube.com/technikliebe?sub_confirmation=1 ► Alle Infos zum Nachlesen: www.pcwelt.de/2525398 ► Zum PC-WELT T-Shirt-Shop: www.pcwelt.de/fan ► Unterstützt uns, werdet Kanalmitglied für nur 99 Cent im Monat und erhaltet exklusive Vorteile (jederzeit kündbar): www.youtube.com/pcwelt/join  ► Windows-10-Key günstig & legal von Lizengo.de: tidd.ly/2e760c56 ► News, Tests und Tipps zum Thema Gaming & eSports: www.pcwelt.de/gaming ► PC-WELT auf Instagram: instagram.com/pcwelt/ ► PC-WELT auf Facebook: www.facebook.com/pcwelt/ ► PC-WELT auf Twitter: twitter.com/pcwelt -------- Unser Equipment (Affiliate-Links): 🎥Kameras: amzn.to/2SjTm72 amzn.to/2IuqA3T amzn.to/2IvFtmk 🔭Objektive: amzn.to/2E0wofO amzn.to/2NkGoFd ➡️ Stative: teuer: amzn.to/2DIlCeV günstig: amzn.to/2IHm026 Einbein: amzn.to/2T0WbPG 📺Field Monitore: teuer: amzn.to/2UnVbWk günstig: amzn.to/2IKAbUv 🎤Mikros: Lavalier: amzn.to/2IxIlzm Headset: de-de.sennheiser.com/hsp-essential-omni Hand: amzn.to/2HdVKIT Shotgun: amzn.to/2tA6ZoE ➡️ Kamera-Cages & Zubehör: amzn.to/2Estthx amzn.to/2XY5M7N Damit habt Ihr alles im Griff: amzn.to/2SmfptN ➡️ Schulter-Rigs: teuer: bit.ly/2V08tny günstig: amzn.to/2PJrr0z 💻 Schnitt-Notebooks: Apple: amzn.to/2JuPgYY Nicht-Apple: amzn.to/2E3vsHI

2525693