Per Passwort lassen sich Windows-PCs schon immer schützen, doch die aktuelle Version des Betriebssystems bietet zusätzlich weitere Möglichkeiten. Insbesondere das Einloggen über die biometrischen Benutzermerkmale Augeniris, Gesicht oder Fingerabdruck ist sicherer und wesentlich schneller als das manuelle Einloggen.
Unser Ratgeber erklärt alle Anmeldeoptionen von Windows 10 und nennt die Hardwarevoraussetzungen für die Nutzung von Windows Hello. Doch selbst wenn Ihr PC oder Notebook keine passende Kamera und keinen Fingerabdrucksensor haben, können Sie letzteren günstig nachrüsten. Alternativ konfigurieren Sie einen x-beliebigen USB-Stick so, dass er als Hardware-Token zum Anmelden ohne PIN- oder Passworteingabe fungiert.
Passwort und PIN ähneln sich, funktionieren unterschiedlich
Die Kontenrubrik in der Einstellungen-App von Windows 10 stellt die Zentrale für alle Einstellungen in den Benutzerkonten und Anmeldeoptionen dar. „Ihre Infos“ zeigt zunächst die Art Ihres Kontos an, also „lokales Konto“ oder „Microsoft-Konto“. Nachträglich ändern lässt sich die Kontenart über die Funktion „Stattdessen mit einem lokalen Konto / Microsoft-Konto anmelden“. Dass die Umstellung hin zum Microsoft-, also zum Onlinekonto die Eingabe des persönlichen Passwortes erfordert, versteht sich von selbst. Darüber hinaus wirbt Microsoft mit dem Hinweis „PIN erstellen“ für die schnelle und sichere Anmeldung über die „Windows-Hello-PIN“.
Weshalb empfiehlt Microsoft zusätzlich zum Passwort die PIN und wodurch unterscheiden sich PIN und Passwort? Auf den ersten Blick nämlich ähneln sich beide sehr, auch weil sowohl PIN als auch Passwort aus Buchstaben, Ziffern und Sonderzeichen bestehen dürfen. Doch während das Passwort wie üblich das Onlinekonto absichert, ist die PIN an dasjenige Gerät gebunden, auf dem sie erstellt wird. Während ein gestohlenes Passwort das Anmelden also von jedem anderen Gerät ermöglicht, ist die PIN ohne die individuelle Hardware wertlos.
Die PIN ist außerdem nur lokal gespeichert, wird also nicht über das Internet übertragen und lässt sich somit auch nicht abfangen. Deshalb kann die PIN kürzer als ein sicheres Onlinekennwort sein. Schließlich erfordert die PIN-Anmeldung keine Bestätigung mit der Enter-Taste, sodass eine PIN zusätzlich zum Kennwort durchaus sinnvoll ist – erforderlich ist dies aber trotz anderslautendem Windows-Hinweis nicht.
Aus dem Funktionsunterschied zwischen PIN und Passwort folgt zweierlei: Erstens erfordert jedes Gerät seine eigene PIN, und zweitens ändern sich diese PINs auch dann nicht, wenn man das Passwort für sein Konto wechselt oder auf ein lokales Benutzerkonto ohne Kennwort umstellt. Wichtig ist deshalb, sich die jeweiligen Gerätecodes sicher einzuprägen, wenn Sie die Funktion in der Einstellungen-App über „Konten –› Anmeldeoptionen –› Windows Hello-PIN“ aktivieren.
Windows Hello: Erkennung von Gesicht oder Fingerabdruck
Immer wieder heißt es, Windows Hello sei ein biometrisches Authentifizierungssystem, das die PC-Anmeldung über das Erkennen des Gesichts, des Fingerabdrucks oder der Iris ermögliche. Das leistet Windows Hello zwar auch, aber eben nicht nur. Auch die im Absatz zuvor beschriebene PIN ist Teil von Windows Hello, schließlich wird der Zugangscode ja auf der Hardware gespeichert und ist an diese gekoppelt. Das Gleiche gilt für die Gesichtserkennung und den Fingerabdruck: Ohne ordnungsgemäßes Entsperren kein Zugang zum Gerät, das Deaktivieren oder Entfernen von Kamera oder Fingersensor nützt da nichts.
Voraussetzung für die Nutzung der biometrischen Anmeldeverfahren ist neben kompatibler Hardware der Einsatz der 64-Bit-Variante von Windows 10. Die läuft allerdings ohnehin auf praktisch allen PCs. Entscheidend ist also die Geräteausstattung, hier gilt es, zwischen Hello-fähiger Kamera und Fingerprint-Reader zu unterscheiden. Für die Gesichtserkennung reichen die einfachen Webcams der meisten Notebooks nicht aus. Vielmehr muss die Kamera Infrarot unterstützen, damit sie den Nutzer dreidimensional erfassen kann und das unberechtigte Einloggen beispielsweise durch ein vor die Linse gehaltenes Foto unterbindet. Es gibt nur vergleichsweise wenige Geräte mit Gesichtsauthentifizierung (www.pcwelt.de/Ls7MT_), unter ihnen immerhin auch Microsofts Surface-Go-Tablets, die bereits ab 500 Euro erhältlich sind. Sehr viel größer ist die Verbreitung der Fingersensoren, mehr als ein Drittel der derzeit angebotenen Notebooks verfügt über ein solches Lesegerät. Ob und gegebenenfalls welche der beiden Hello-Methoden Ihr Computer unterstützt, zeigen die „Anmeldeoptionen“ in der Einstellungen-App. Fehlt bei Ihnen jede biometrische Option, können Sie den Fingerprint-Sensor schon ab 20 Euro nachrüsten (siehe Kasten unten).
Hinweis: Die Authentifizierung über die Augeniris wird kaum noch angewendet, weil sie lediglich von ganz wenigen Geräten unterstützt wird.
Microsoft will Home-Nutzer zum Onlinekonto zwingen
Die Windows-Anmeldung über ein lokales Konto beziehungsweise ein Onlinekonto unterscheidet sich unter anderem darin, dass die lokale Variante nicht zwingend ein Passwort erfordert. Warum sollte man sich im Single-Haushalt am Desktop-Rechner auch anmelden?
Doch diese schnelle Startoption versucht Microsoft seit dem Frühjahr dieses Jahres in der weitverbreiteten Home-Variante von Windows 10 zu verhindern. Anwender, die einen neuen Rechner mit Windows 10 Home kaufen oder das Betriebssystem neu aufsetzen, kommen um die Verwendung eines Onlinekontos zunächst nicht herum: Die Möglichkeit, ein lokales Benutzerkonto zu wählen, wurde beim Setup gestrichen. Allerdings lässt sich die erzwungene, passwortgeschützte Onlinevariante in der Einstellungen-App nachträglich über „Konten –› Ihre Infos –› Stattdessen mit einem lokalen Konto anmelden“ wieder löschen.
Noch einfacher ist es, während der Einrichtung von Windows 10 kurz das Netzwerkkabel zu ziehen oder das WLAN auszuschalten. Mit einem Mausklick links oben auf den „Pfeil zurück“ im Anmeldefenster gelangt man dann doch zur früheren Offlinevariante. Noch also lässt sich der Onlinezwang einfach umgehen, allerdings könnte Microsoft die Hürde jederzeit erhöhen und somit auch die schnelle PC-Bereitschaft erschweren – deshalb sind die Alternativen zum Passwort ebenfalls wichtig.
Siehe auch: Benutzer ohne Microsoft-Konto anlegen
So richten Sie die automatische Windows-Anmeldung ein
Arbeiten Sie mit einem lokalen Benutzerkonto ohne Kennwort, müssen Sie das für das Einrichten von Windows Hello zunächst einmal mittels „Anmeldeoptionen –› Kennwort –› Hinzufügen –› Fertigstellen“ vergeben. Im Anschluss daran klicken Sie in den „Anmeldeoptionen“ auf die Methode Ihrer Wahl, zum Beispiel die Erkennung per Fingerabdruck. Fahren Sie mit „Einrichten –› Los geht’s“ fort, legen Sie Ihren (Zeige-)Finger auf den Sensor und folgen Sie nun den weiteren Anweisungen. Dazu gehört mehrfaches Auflegen und Bewegen. Ist Ihr Finger erfasst, blendet Windows 10 den Hinweis „Noch ein paar Dinge …“ ein. Hierzu gehört zwingend, zusätzlich eine PIN zu vergeben, falls die Erkennung einmal nicht funktioniert oder der Sensor ausfällt. Brillenträgern, die die Gesichtserkennung nutzen, sei bei der Einrichtung außerdem die Option „Erkennung verbessern“ sowie der Blick in die Kamera ohne Brille empfohlen. Ab sofort können Sie sich nach dem Einschalten des Rechners oder dem zwischenzeitlichen Sperren des Bildschirmes über den Shortcut Win-L (für „Lock“) durch Auflegen Ihres Fingers beziehungsweise den Blick in die Kamera blitzschnell anmelden.
Beides funktioniert in der Praxis schnell und zuverlässig. Über die automatische Authentifizierung hinaus können Sie sich bei gesperrtem Rechner beziehungsweise Konto weiterhin mit Passwort oder PIN anmelden. Falls gewünscht, können Sie mehrere Fingerabdrücke oder Gesichter einem Konto zuordnen, die Hello-Anmeldung für unterschiedliche Accounts einrichten und auch wieder vom Gerät löschen.
Hello-Komptabile Hardware nachrüsten
Falls Ihr Notebook oder PC die Windows-Authentifizierung weder über den Fingerabdruck noch per Gesichtserkennung unterstützt, lässt sich beides einfach nachrüsten.
Sensoren für den Fingerabdruck gibt es integriert in Mäusen, Tastaturen sowie USB-Sticks mit oder ohne Option zum Datenspeichern. Solche Sticks, die Sie über den Begriff „Fingerprint“ finden, starten bei etwa 20 bis 25 Euro.
Deutlich teurer sind Webcams zur Gesichtserkennung mit Windows Hello. Das Logitech-Modell Brio Ultra HD Pro beispielsweise kostet über 200 Euro. Bei günstigeren Geräten gilt es aufzupassen, dass sie tatsächlich über einen 3D-Tiefensensor verfügen und somit die automatische Windows-Anmeldung unterstützen.
Die weiteren Anmeldeoptionen und ein Missverständnis
Zwei weitere Anmeldeverfahren komplettieren die Liste der Anmeldeoptionen von Windows 10, nämlich „Bildcode“ und „Sicherheitsschlüssel“. Der „Bildcode“, bei dem Sie die Maus zum Entsperren nach einem zuvor von Ihnen festgelegten Muster über ein Foto ziehen, funktioniert zwar, erweist sich allerdings als nicht sonderlich schnell und praktisch.
Eine flottere Anmeldung verspricht auch der sogenannte Sicherheitsschlüssel. Die Idee dahinter ist, sich über einen USB-Token durch einfaches Einstecken in den PC und damit ebenfalls ohne Passwort anmelden zu können. Zum unbefugten Einloggen müssten Diebe den Schlüssel also physisch stehlen, was de facto sehr viel schwieriger ist als der Passwortdiebstahl über das Internet. Doch anders als von Microsoft durch die Auflistung zusammen mit den übrigen Anmeldemethoden suggeriert, eignet sich ein solcher Sicherheitsschlüssel nicht zum Einloggen am Windows-PC.
Denn die Tokens, die den neuen Authentifizierungsstandard FIDO2 („Fast Identity Online 2“) unterstützen, erleichtern zwar das sichere Einloggen bei den Onlinediensten von Dropbox, Google oder Microsoft. Die Computeranmeldung funktioniert damit aktuell aber weder in Windows 10 Version 1909 noch in der jetzt aktuellen Version 2004. Mehr über das FIDO2-Verfahren lesen Sie hier . Doch mit USB Logon steht ein kleines Tool für genau diesen Zweck zur Verfügung: Die Software generiert aus jedem gewöhnlichen USB-Stick einen Sicherheitsschlüssel für das automatische Anmelden bei Windows. Einmal konfiguriert, entsperrt er Ihren Computer durch einfaches Einstecken.
Fido 2: Was taugt die neue Anmeldetechnik ohne Passwort?
So geht’s: Installieren und starten Sie USB Logon, stecken Sie einen USB-Stick ins Laufwerk, markieren Sie auf der Tooloberfläche Stick und Laufwerk und fahren Sie mit „Gerät konfigurieren –› Ja“, Eingabe Ihres Windows-Kennworts und „OK“ fort. Dieses wird verschlüsselt auf dem Stick gespeichert. Klicken Sie nun noch auf das Zahnradsymbol rechts oben im Toolfenster und aktivieren Sie alle drei Optionen. Damit meldet Windows Sie automatisch an, sobald Sie den USB-Stick einstecken, und sperrt den PC wieder, wenn Sie ihn abziehen. Angst vor Verlust oder Diebstahl des Sticks müssen Sie insofern nicht haben, weil Sie sich selbst jederzeit mit Ihrem Passwort einloggen können. Wenn Sie zudem das Passwort ändern oder USB Logon über die Systemsteuerung deinstallieren, erweist sich der Stick selbst in falschen Händen an Ihrem Computer als wertlos.
Dynamische Sperre macht Probleme
Die sogenannte dynamische Sperre von Windows 10 soll den PC automatisch sperren, wenn man sich samt Smartphone vom Rechner entfernt. Man soll sich also nicht manuell abmelden müssen, um beispielsweise auf die Toilette zu gehen oder mit einem Kollegen ein paar Büros weiter zu sprechen.
Doch in der Praxis überzeugt das System nicht. Zwar ist die Kopplung von Smartphone und Computer schnell eingerichtet, doch die Bluetooth-Verbindung ist so stabil, dass sie auch beim Aufsuchen der Toilette oder beim Besuch eines Nachbarbüros nicht immer abbricht und folglich den Bildschirm auch nicht sperrt. Zudem dauert das Sperren bis zu 60 Sekunden, da ist ein böswilliger Kollege längst an Ihrem PC. Auch entsperrt sich der Bildschirm nicht wieder automatisch, wenn man an den Arbeitsplatz zurückkommt. Man muss also doch Passwort oder PIN eingeben, das macht Windows Hello über die Erkennung von Fingerabdruck oder Gesicht besser.
Autor: Peter Stelzel-Morawietz, Redakteur, PC-WELT Print
Peter Stelzel-Morawietz bastelt gerne und schreibt bei der PC-Welt zu allen Themen rund um Windows, Software, Internet, Telekommunikation, Verbraucherschutz und Do-it-yourself. Kennt sich auch bei Energie, Photovoltaik und Co. bestens aus.