Microsofts komisches Verhältnis zu Passwörtern

Microsofts komisches Verhältnis zu Passwörtern
Windows10 Dialog

„Kennwörter sind von Gestern”

Es ist schon erstaunlich, welche Einstellung Microsoft zum Thema Kennwörter hat — zumindest wenn man nach dieser Meldung geht welche unter Windows 10 (dem Build vom 02.07.2015) glauben darf.

Zuerst vielleicht ein paar allgemeine Informationen. Windows 10 soll sowohl auf Smartphones, Tablets als auch normalen Rechner funktionieren. Gleichzeitig möchte man auch so viel wie möglich mit der Cloud arbeiten und daher wird einem an gefühlt jeder Ecke des Betriebssystem angeboten von einem „lokalen Account” auf die Anmeldung mittels Live ID umzustellen.

Eine der Funktionen ist dabei z.B. die Sprachassistentin Cortana, welche zwingend die Umstellung auf die LiveID-Anmeldung voraussetzt. Da ich Cortana einmal testen wollte, habe ich mich doch für die Umstellung erweichen lassen und ich wusste dabei schon, dass ich im Endeffekt die Wahl habe zwischen dem langen Passwort meines LiveID Kontos oder einer relativ einfachen PIN Nummer. Genau diese Auswahl wird mittels einer Info-Box vor der Umstellung vorgestellt zusammen mit einer ziemlich überraschenden „Erklärung”.

Hier die Meldung im Orginal-Text:

Kennwörter sind von gestern

Das Verwenden einer PIN ist schneller und sicherer als ein Kennwort — Sie werden bestimmt begeistert sein. Wie kann eine kurze PIN sicherer als ein langes Kennwort sein?

Eine PIN Nummer soll also sicherer sein als ein langes Kennwort? Wie soll bitte ein Zahlencode zuverlässiger fremde Nutzer von der Anmeldung an meinem Rechner abhalten als ein langes Kennwort?

Microsoft liefert dabei durchaus eine Begründung, warum es — ihrer Meinung nach — „nicht wirklich auf die Größe ankommt” (O‑Ton Microsoft). Kurz gesagt, es wird damit begründet, dass die angelegte PIN nur mit eben diesem Gerät funktioniert und sonst mit keinem anderen. Die PIN alleine sei zu nichts zu gebrauchen.

Da bleibt mir doch echt die Spucke weg — der Anmeldebildschirm soll doch eben die unbefugte Anmeldung an eben diesem System verhindern, bei dem die PIN gesetzt wurde (egal ob — wie hier — bei einer Workstation oder bei einem Smartphone). Genau hier ist eine PIN ein relativ schwacher Schutz und ist alles, nur nicht sicherer als ein langes Passwort.

Als Schutz für die Cloud-Daten vor dem Zugriff über anderen Systemen mag die Microsoft-Begründung durchaus stimmen, aber auch nur dafür. Als Schutz für den Zugriff auf die Cloud-Daten bietet allerdings Microsoft auch eine 2‑Factor Authentifizierung mittels PIN an ein Smartphone an. Dies macht zumindest solange Sinn, solange man sich diese PIN an ein jeweils anderes Gerät senden lässt und ist unter dieser Vorraussetzung meiner Meinung nach durchaus noch sicherer als diese PIN-Lösung. Apple zeigt, dass die 2‑Factor Authentifizierung dabei durchaus nicht zwingend per SMS an ein Smartphone laufen muss, sondern auch per „Push-Nachricht” an Workstations oder Wlan-only-Tablets funktionieren kann. Dies erlaubt dem Nutzer von einem beliebigen seiner Geräte der Zugriff zu erlauben für z.B. ein neues Endgerät.

Als Fazit kann man nur sagen, dass als Schutz vor „fremden Nutzern” bei Workstations, aber auch mobilen Endgeräten, eine PIN Nummer niemals sicherer sein kann als ein langes Kennwort.