Die Kombination aus Benutzername und Kennwort bei der Anmeldung bei IT-Systemen und -Diensten aller Art hat nicht ohne Grund bereits mehrere Jahrzehnte überdauert. Denn zum einen ist sie einfach und für jeden Anwender sofort verständlich, zum anderen galt sie lange Zeit als äußerst sicher. Sie vereint eine Benutzerkennung, die meist vom Administrator vorgegeben wird, mit einem Passwort, das ausschließlich dem Anwender bekannt ist.

Doch dieses System hat sich in den vergangenen Jahren zunehmend als anfällig gegen Hacker-Angriffe erwiesen. So ist die Vertraulichkeit des Benutzernamens in der Regel nicht gewährleistet. Vor allem in Unternehmen werden häufig einfach die Mailadressen verwendet, oder die Vergabe der Namen folgt leicht nachvollziehbaren Regeln – so bekommt dann „Susanne Mustermannn“ die Benutzerkennung „smustermann“.

Passwörter wiederum haben das Problem, dass sie bei zu wenigen Zeichen einfach zu knacken sind. Lange, sichere Zeichenkombinationen können sich die Anwender jedoch nicht merken. Also weichen sie aus auf Kennwörter wie „123456789“ oder „Passwort1“. Hacker wissen das und probieren diese Passwörter immer als Erstes aus.

Technisch gibt es heute mehrere Alternativen zum Passwort. Mit Windows 10 hat Microsoft einige davon in das Betriebssystem integriert.

Anmeldung per Passwort

In den „Einstellungen“ finden Sie unter „Konten“ die „Anmeldeoptionen“. Hier können Sie zwischen den verschiedenen Möglichkeiten auswählen, wie Sie sich bei Windows anmelden wollen.

Windows fragt bei der Anmeldung in der Voreinstellung den Benutzernamen und das Passwort ab. Als Namen gibt es den zuletzt angemeldeten Anwender vor, die Bezeichnungen der weiteren Benutzerkonten blendet es links unten ein. Mit einem Klick wählen Sie ein Konto aus und tragen dann das zugehörige Kennwort ein.

Um die Anmeldung abzusichern, können Sie sowohl den Namen des zuletzt angezeigten Benutzers wie auch die Liste der weiteren Benutzerkonten verbergen. Ein Eindringling muss in diesem Fall auch den Benutzernamen kennen, um sich anmelden zu können.

In Windows 10 Pro, Education und Enterprise verwenden Sie zum Verbergen der Benutzernamen die integrierte lokale Sicherheitsrichtlinie: Tippen Sie secpol in das Suchfeld der Taskleiste und klicken Sie auf den Eintrag in der Trefferliste. Folgen Sie dem Pfad „Sicherheitseinstellungen –› Lokale Richtlinien –› Sicherheitsoptionen“, und suchen Sie in der Liste in der rechten Fensterhälfte nach dem Eintrag „Interaktive Anmeldung: Zuletzt angemeldeten Benutzer nicht anzeigen“. Klicken Sie ihn doppelt an, stellen Sie um auf „Aktiviert“, und bestätigen Sie mit „OK“. 

In Windows 10 Home gibt es den Richtlinien-Editor nicht. Dort müssen Sie die Registrierdatenbank bearbeiten. Tippen Sie regedit in das Suchfeld der Taskleiste und klicken Sie auf „Registrierungs-Editor“. Gehen Sie dort zum Ordner HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\System, und suchen Sie in der rechten Fensterhälfte nach dem Eintrag „dontdisplaylastusername“. Falls er nicht vorhanden ist, legen Sie ihn an, indem Sie mit der rechten Maustaste in das Fenster klicken, auf „Neu –› DWORDWert (32-Bit)“ gehen und die genannte Bezeichnung eintippen.

Klicken Sie den neuen Eintrag doppelt an und stellen Sie den Wert auf 1. Bei der nächsten Anmeldung gibt Windows keinen Benutzernamen mehr vor, auch die Liste der übrigen Konten ist verschwunden.

Siehe auch: 1-Klick-Tools für mehr Sicherheit in Windows

Anmeldung per PIN

Für eine sichere PIN bei der Windows-Anmeldung genügt in der Regel die Eingabe von acht Ziffern.

Wenn Sie sich mit einem Microsoft-Konto bei Windows anmelden (mehr dazu im Kasten auf Seite 44), wird Ihr Passwort zur Prüfung an einen Server übertragen. Damit ist es zumindest theoretisch möglich, dass ein Hacker das Kennwort abfängt und mitliest. Um das zu verhindern, hat Microsoft in Windows die Möglichkeit zur Authentisierung per PIN eingeführt. Diese PIN ist geräteabhängig, funktioniert also nur auf dem jeweiligen Computer, und wird ausschließlich lokal gespeichert.

Die PIN ist allerdings lediglich eine Ergänzung zum Passwort und ersetzt es nicht. Denn in einem Netzwerk muss es nach wie vor möglich sein, sich bei einem anderen PC anzumelden, um etwa auf dessen Freigaben zuzugreifen. Dafür benötigen Sie nach wie vor ein Passwort. Das bedeutet gleichzeitig, dass Sie an Ihrem lokalen PC immer zwischen einer Anmeldung per PIN und per Kennwort wählen können. Ihr Passwort bleibt erhalten. Nur mithilfe der Option „Windows Hello-Anmeldung für Microsoft-Konten erforderlich“ können Sie die Anmeldung per PIN erzwingen.

Um von der Anmeldung per Passwort zu einer PIN zu wechseln, rufen Sie im Startmenü die „Einstellungen“ auf und klicken dort auf „Konten –› Anmeldeoptionen“ und „Windows Hello-PIN“. Weiter geht’s mit „Hinzufügen“ und „Weiter“. Windows fragt Sie nun nach dem Kennwort für Ihr Microsoft-Konto (oder bittet Sie um eine Bestätigung in der Authenticator-App). Anschließend geben Sie die gewünschte PIN ein. Sie muss mindestens vier und darf maximal 127 Zeichen lang sein. In der Voreinstellung sind ausschließlich Ziffern erlaubt. Nur wenn Sie ein Häkchen setzen vor „Buchstaben und Symbole einschließen“, dürfen Sie auch andere Zeichen benutzen – notwendig oder empfehlenswert ist das jedoch nicht. Nicht möglich sind Zahlenmuster wie „0000“ oder „1234“, sie werden von Windows abgelehnt.

Für die PIN sind acht Ziffern in der Regel ausreichend. Am besten merken lässt sie sich, wenn Sie zwei Mal die gleiche Vierer-Kombi eingeben, also etwa „31573157“. Warum genügen bei einer PIN acht Zeichen, während bei einem Passwort 16 oder mehr empfohlen werden? Sobald vier Mal eine falsche PIN eingetippt wird, verlangt Windows die Eingabe einer Test-PIN, um Probleme mit der Tastatur auszuschließen. Gibt der Benutzer anschließend wieder eine falsche PIN ein, muss er Windows neu starten. Anschließend hat er erneut vier Versuche, danach ist die PIN für 30 Sekunden gesperrt. Weiter geht es wieder mit der Test-PIN, einem fünften Versuch, Neustart, vier neuen Versuchen und einer Wartezeit von diesmal einer Minute. Wenn der Benutzer es weiter versucht, verdoppelt Windows jeweils die Wartezeit, und schnell sind mehrere Stunden erreicht. Die PIN durch einfaches Ausprobieren aller möglichen Zahlenkombinationen zu ermitteln, ist also nahezu ausgeschlossen.

Biometrische Merkmale

Beim Einrichten der Anmeldung per Fingerabdruck sind meist mehrere Versuche erforderlich.

Neben PIN und Passwort bietet Windows auch eine Anmeldung per Gesichts- oder Fingerabdruckerkennung an. Viele Notebooks verfügen über einen eingebauten Fingerabdruck-Scanner, für alle anderen Computer sind ab etwa 20 Euro Geräte für den USB-Anschluss erhältlich. Die Konfiguration für die Windows-Anmeldung ist einfach: Klicken Sie in den „Anmeldeoptionen“ auf „Windows Hello-Fingerabdruckerkennung“, danach auf „Einrichten“ und „Los geht’s“. Tippen Sie Ihre PIN oder das Passwort ein und folgen Sie den Anweisungen des Assistenten. In den meisten Fällen benötigt man mehrere Anläufe, bis Windows den Fingerabdruck vollständig erkannt hat. Beim nächsten Start von Windows steht nach einem Klick auf „Anmeldeoptionen“ die Authentisierung per Fingerabdruck zur Verfügung.

Ähnlich funktioniert die „Windows Hello- Gesichtserkennung“. Die üblichen 2D-Webcams sind dafür allerdings ungeeignet. Stattdessen benötigen Sie eine Kamera mit Infrarot-Sensor, die ein 3D-Modell Ihres Kopfes aufnehmen kann. Nur so ist gewährleistet, dass sich andere Personen nicht einfach mit einem Foto von Ihnen anmelden können. Kameras, die kompatibel zu Windows Hello sind, sind vergleichsweise selten und liegen im Preis deutlich höher als normale Webcams. Die Preise beginnen bei etwa 70 Euro. Beispiele sind die Kaysuda CA20 oder die rund 150 Euro teure Logitech Brio Ultra-HD Pro.

Der Nachteil einer Anmeldung mit biometrischen Merkmalen ist, dass sie sich nicht ändern lassen. Hat ein Angreifer etwa Ihren Fingerabdruck von einem benutzten Glas abgenommen, kann er sich damit für alle Zeit in Ihrem Namen anmelden. Denn im Unterschied zu einem Passwort lässt sich der Abdruck nicht verändern.

Anmeldung mit Fido-2-Stick

Fido-2-Sticks wie dieses Modell von Yubico kann man bequem am Schlüsselbund mitnehmen. Für die Anmeldung bei Windows sind sie leider nur bedingt geeignet.

© Yubico

Eine weitere Anmeldeoption von Windows ist ein physischer „Sicherheitsschlüssel“. Gemeint ist damit ein Schlüssel nach dem Fido-2-Standard. Fido steht für Fast Identity Online und bezeichnet eine 2012 gegründete Allianz von Software- und Hardware-Herstellern, Finanzdienstleistern und Behörden, die einen Standard für die einfache und sichere Authentisierung im Internet entwickelt haben. Fido 2 ist die zweite Version dieses Standards und wurde Anfang 2015 vorgestellt. Ein Benutzer kann sich damit nur mit seiner Benutzerkennung und dem Fido-Schlüssel bei einem Dienst anmelden. Ein Passwort ist nicht erforderlich. Fido-2-Schlüssel in Form eines USB-Sticks sind von mehreren Herstellern zu Preisen zwischen 20 und 60 Euro erhältlich. Alternativ dazu werden Chips mit Bluetoothoder NFC-Funk angeboten.

Beim ersten Anschluss des Fido-Geräts erzeugt es einen öffentlichen und einen geheimen Schlüssel. Den öffentlichen Schlüssel übermittelt es an den Server, der geheime Schlüssel wird lokal auf dem jeweiligen Gerät gespeichert, also etwa auf dem Windows- PC. So ist es möglich, das Fido-Gerät für die Anmeldung bei mehreren Servern/ Diensten zu verwenden, wobei jedes Mal ein neues Schlüsselpaar erzeugt wird.

Für Ihr Microsoft-Konto können Sie zusätzlich auch eine Anmeldung per Fido-2-Stick einrichten.

Windows 10 unterstützt den Fido-2-Standard, allerdings können Sie sich nur in sehr speziellen Fällen mit einem Fido-Schlüssel beim Betriebssystem anmelden. Denn da es sich bei Fido 2 um einen Web-Standard handelt, ist eine rein lokale Authentisierung an Ihrem Computer nicht vorgesehen. Stattdessen muss Windows in ein Azure AD eingebunden sein. AD ist die Abkürzung für Active Directory, den Verzeichnisdienst von Microsoft, mit dem vor allem in professionellen Netzwerken sämtliche Geräte und Benutzer zentral erfasst und verwaltet werden. Das Azure AD ist die Cloudvariante, bei der die AD-Datenbank nicht auf einem lokalen Server, sondern bei Microsofts Cloud-Dienst Azure liegen. Nur in dieser Konfiguration ist eine passwortlose Anmeldung über einen Fido-2-Stick an Windows und Netzwerk möglich.

Dennoch kann ein Fido-2-Stick auch privaten Anwendern gute Dienste leisten. So können Sie sich beispielsweise mit dem Stick über den Browser bei Ihrem Microsoft-Konto anmelden. Die entsprechende Option finden Sie bei Ihren Kontoeinstellungen unter „Sicherheit –› Erweiterte Sicherheitsoptionen –› Neue Möglichkeit zur Anmeldung oder Verifizierung hinzufügen –› Sicherheitsschlüssel verwenden“. Falls Sie eine Zwei-Faktor-Authentisierung konfiguriert haben, lässt sich der Stick auch für die Anmeldung bei Ihrem Google-Konto nutzen. Doch Achtung: Fido-2-Sticks funktionieren grundsätzlich nur mit einem kompatiblen Browser. Das sind vor allem Microsoft Edge und Google Chrome, Firefox unterstützt den Standard derzeit nicht.

Windows 11: Gratis oder nicht? So viel könnte es kosten

Anmeldung per Bildcode

Beim Einrichten eines Bildcodes zeigt Ihnen Windows die verschiedenen Möglichkeiten für die Definition von Wisch- und Klickgesten. Danach können Sie ein eigenes Foto auswählen.

In Windows 10 können Sie sich zudem auch über Wisch- und Tippgesten anmelden. Diese Option richtet sich in erster Linie an Besitzer eines Computers mit Touchscreen, funktioniert aber auch mit der Maus. Klicken Sie bei den „Anmeldeoptionen“ auf „Bildcode“ und „Hinzufügen“. Geben Sie Ihr Passwort ein, und klicken Sie auf der linken Seite auf „Bild auswählen“. Suchen Sie im Explorer-Fenster ein Foto aus und klicken Sie auf „Dieses Bild verwenden“. Malen Sie nun mit der Maus drei einfache Gesten auf das Foto und/oder klicken Sie einzelne Punkte an. Beim Foto eines Gesichts etwa könnten Sie auf die beiden Augen klicken und die Mundlinie nachfahren. Danach müssen Sie die Gesten zur Probe noch einmal wiederholen. Hat alles geklappt, schließen Sie die Einrichtung mit „Fertig stellen“ ab. Bei der nächsten Anmeldung präsentiert Ihnen Windows Ihr Foto. Nach Eingabe der definierten Gesten gelangen Sie direkt zum Desktop.

Tipp: Falls der Bildcode bei den „Anmeldeoptionen“ nicht verfügbar ist, liegt das in den meisten Fällen daran, dass im gleichen Fenster der Schalter „Windows Hello-Anmeldung für Microsoft-Konten erforderlich“ aktiv ist.

Ein Bildcode sollte wie eine PIN nur in Umgebungen verwendet werden, in denen Sie unbeobachtet sind.