[English]Microsoft bietet unter Windows 10 und Windows 11 ja eine biometrisch abgesicherte Anmeldung über Windows Hello. Sich mittels Gesichtserkennung oder Fingerabdruck statt Passwörtern sicher anmelden? Eher nicht, meinen deutsche Sicherheitsforscher, die in Unternehmensumgebungen vor einer Verwendung von Windows Hello warnen.
Microsoft drängt Windows-Nutzer nachdrücklich, statt Passwörter zur Authentifizierung zu benutzen, sein biometrisches Windows Hello zu verwenden.
Was ist Windows Hello?
Windows Hello ist eine Funktion von Windows, die es Benutzern ermöglicht, sich auf ihrem Gerät mit biometrischen Daten (Gesicht, Fingerabdruck oder Iris) oder einer PIN anzumelden, anstelle eines herkömmlichen Passworts. Es bietet laut Microsoft eine persönlichere und sicherere Möglichkeit, sich bei Windows, Apps und Online-Diensten anzumelden
Hello unterstützt die Authentifizierung für Geschäftsanwender, sodass Unternehmens-PCs eine Verbindung zu Plattformen wie Entra ID oder Active Directory herstellen können, um den Zugriff auf Server zu ermöglichen. Dazu wird ein kryptografischer Schlüssel in einer Datenbank gespeichert, die mit dem Windows Biometric Service von Microsoft verbunden ist.
Anzeige
Windows Hello ist eine Schnapsidee!
Die Verwendung von Windows Hello ist im Business-Bereich aber eine absolute Schnapsidee, wie deutschen die Sicherheitsforscher Dr Baptiste David und Tillmann Osswald von ERNW Research herausgefunden haben. Denn die Sicherheitsforscher sind auf eine gravierende Schwachstelle gestoßen.
Sicherheitsforscher auf der Black Hat 2025 in Las Vegas
The Register berichtet im Artikel German security researchers say 'Windows Hell No' to Microsoft biometrics for biz von deren Auftritt auf der Black Hat-Konferenz in Las Vegas. Dort demonstrierten sie, wie man das Hello-System knacken kann und wie ein lokaler Administrator oder jemand, der über Malware oder andere Mittel Zugriff auf die Anmeldedaten hat, biometrische Informationen in einen Computer einspeisen kann, damit dieser jedes Gesicht oder jeden Fingerabdruck erkennt.
Dr Baptiste David meldete sich mit einem Gesichtsscan an. Anschließend konnte Tillmann Osswald mit ein paar Zeilen Code einen Hello-Gesichtsscan, den er auf einem anderen Rechner erstellt hatte, in die Datenbank einfügen und Davids Rechner entsperren. Das Ganze wurde live auf der Bühne der Black Hat-Konferenz demonstriert.
Die Krux mit dem Schutz der Daten
Die Windows API-Funktion CryptProtectData schützt zwar die Datenbank mit den biometrischen Informationen zum Hello-Login. Die Sicherheitsforscher fanden aber heraus, dass es für jemanden mit lokalen Administratorrechten möglich ist, die Verschlüsselung mithilfe von Informationen aus der Software zu knacken.
Microsoft verfügt zwar auch über Enhanced Sign-in Security (ESS), das auf einer höheren Hypervisor-Vertrauensstufe (VTL1) arbeitet. Dadurch sollte der Angriff blockiert werden, spezielle, da ESS standardmäßig aktiviert ist. Leider unterstützen nicht alle PCs diese Funktion, sagen die Sicherheitsforscher.
The Register zitiert Osswald "ESS ist sehr effektiv bei der Abwehr dieses Angriffs, aber nicht jeder kann es nutzen. Wir haben beispielsweise vor etwa anderthalb Jahren ThinkPads gekauft. Aber leider verfügen diese nicht über einen sicheren Sensor für die Kamera, da sie AMD-Chips und keine Intel-Chips verwenden."
Folien von Vorträgen der beiden Sicherheitsforscher und ein paar Informationen zu diesen Personen finden sich auf der Webseite Authenticating through Windows Hello for Business, a reverse engineering story.
Tillmann Oßwald hat bereits am 15. Juli 2025 die Details dieses Angriffs auf die Gesichtserkennung von Windows Hello for Business (WHfB) im Blog-Beitrag Windows Hello for Business – The Face Swap offen gelegt. All-About-Security hatte das in diesem Artikel aufgegriffen.
Microsoft wird nicht fixen
Microsoft wurde zwar über diese Schwachstelle informiert. Wegen der technischen Voraussetzungen, die für den Angriff erfüllt sein müssen, gehen die Sicherheitsforscher nicht davon aus, dass dieses Problem behoben wird. Gegenüber The Register meinten die Sicherheitsforscher zudem, dass es schwierig sein wird, das Problem zu beheben. Ein Fix erfordere eine umfangreiche Neuprogrammierung des Codes erfordern oder den Versuch, das TPM-Modul zum Speichern der biometrischen Daten zu verwenden. Das sei vielleicht nicht möglich.
Die Empfehlung der Sicherheitsforscher lautete daher: Deaktivieren Sie die Biometriefunktion der Geräte, Hello for Business ohne ESS verwendet wird und lassen Sie die Benutzer sich weiterhin per PIN anmelden.
Anzeige
Ein lokaler Admin?
Was kommt als nächstes.. jemand mit einem Schraubendreher kann … ?
Erst gestern zu einer anderen „Lücke" in einem Meeting gesagt: „Moment? Wenn jemand lokalen Admin hat , dann könnte er…!?"
Den Schraubenzieher Vergleich merk ich mir!
hello erfüllt genau den Zweck, für den es gemacht ist. Absicherung des Kennworts und Reduktion der Eingabe
hello ohne Business wird Lokal verwaltet und kann logischerweise Lokal attackiert werden.
Microsoft wird es nicht fixen (müssen), wenn es Adminrechte benötigt.
gefährlich ist der Hack, wenn ich damit die Anmeldung eines Benutzers übernehme, der sensible Daten der Firma bearbeitet.
dafür gibt es aber auch alternative Angriffe, die ein lokaler Admin nutzen kann.
jetzt ist es einer mehr.
Teilweise lasse sich die Kameras, zumindest wenn diese älter sind, direkt mit Fotos und die Fingerprint Reader mit Holzleim überlisten, dann braucht man auch keine lokale Admin ;)
hello unterstützt keine 2 dimensionale Face recognition. Foto geht nicht
Hat wohl jemand auch schon mal mit 3D Köpfen gemacht
https://gbhackers.com/hackers-breaked-iphone-x-face-id/
War schon immer ne Shice Idee biometrische Daten zu verwenden… ja hört sich erstmal sicher und schön an, aber einmal verbrannt hast die Arschkarte… biometrische Daten kannst du nicht mal einfach ändern! Neue Fingerabdrücke, nen neues Auge, DNA ändern?
Passworte kann man auch mal "vergessen" bei biometrischen Daten kann von staatlicher Seite Zwang ausgeübt werden ein Gerät zu entsperren.
Bei Fingerabdrücken hat man immerhin die Möglichkeit, ihn 9 mal zu ändern.
Man hat ja i.d.R. 10 Finger.
Die Sicherheit von Biometrie hängt aber immer ab von der Sicherheit der Datenbanken, in denen die biometrischen Daten gespeichert sind.
Biometrische Daten können einen auch in eine Sackgasse führen, aus der man nicht mehr heraus kommt.
Man nehme z.B. einen Fingerabdruck:
Wenn man z.B. durch einen Unfall den entsprechenden Finger verliert hat man auch den damit abgesicherten Zugang verloren.
Ebenso beim Netzhautscan. Durch Unfall, Krankheit etc. könnte man das entsprechende Auge verlieren oder die Netzhaut verändert oder zerstört werden.
Man braucht also immer mindestens ein zweites biometrisches Merkmal, das man anstelle des ersten biometrischen Merkmals nutzen kann, damit man solche Scenarien deutlich abmildern kann.
du hast hello nicht verstanden.
hello ist kein Kennwort Ersatz. hello ist eine Absicherung des langen sicheren Kennworts. hello schaltet den Tresor frei und übergibt das Kennwort.
du authentifizierst dich weiterhin per Kennwort. hello ist nur an dem einen System aktiv.
Darum ist das in der Smartphone Welt gar nicht soweit verbreitet, ob Apple oder Android, ne gar nicht :-)
"Eher nicht, meinen deutsche Sicherheitsforscher, die in Unternehmensumgebungen vor einer Verwendung von Windows Hello warnen."
Komisch, so mies Windows auch ist, aber "Windows Hello" wird auf Unternehmensprodukten – wie auch Windows 10/11 Enterprise – out of the Box deaktiviert.
Man muß es durch einen Registrierungseintrag überhaupt erst lauffähig machen, damit es außerhalb einer Domäne mit (der notwendigen!) PIN-Eingabe freigeschaltet werden kann (für Kamera/Fingerprint).
Möchten die "Sicherheitsforscher" nicht lieber einen TiggTogg-Kanal erstellen und dort Kochstreams präsentieren? Qualität Made in Germany. Eine Lachnummer…
Biometrie ist Identifikation, also Benutzername.
Passworte sind Authentifizierung.
Meldet sich doch auch keiner bei seinem Online Banking nur mit Name und Kontonummer an.
Sag das mal Face ID (Gesichtserkennung) oder Touch ID (Fingerabdrucksensor) Nutzern bei Mobiltelefonen, dort ist das direkt die Authentifizierung.
Windows Hello ist Identifikation und Authentifizierung in einem!
Werde ich von Hello identifiziert, authentifiziert mich Windows Hello automatisch.
Z.B. ich setze mich vor die Kamera und starte Windows.
Wenn mich die Kamera dann erkannt hat, werde ich angemeldet, ohne das ein Passwort abgefragt wird.
nein.
wie schön geschrieben, du hast ein Kennwort, hello schaltet es frei
Was dann bedeutet, das Hello auch nicht sicherer ist als ein Passwort. Denn wenn Hello dich nicht erkennt, wird Benutzername und Passwort abgefragt.
Was heißen würde, das Hello keine biometrische Authentifizierung ist.
Im Übrigen arbeitet die Gesichtserkennung bei einigen Geräten, wie z.B. Microsoft Surface mit 2 Sensoren:
1. der Kamera
2. mit einem Infrarotsensor
Verdeckt man einen der beiden Sensoren, wird man von Hello nicht erkannt!
Damit wird sichergestellt, das man Hello nicht mit einem Foto oder einem Puppenkopf überlisten kann.
Ich sehe zwar die Gefahr, dass jemand mit einer gehackten Windows Hello Anmeldung auch auf Unternehmens Ressourcen im Netzwerk zugreifen kann, aber muss man dafür dann nicht erstmal vorab das Gerät erfolgreich hacken, die alternative Windows Hello Anmeldung unterschieben, dann in den Besitz des Gerätes kommen und dann die geschaffene Lücke nutzen bevor das Unternehmen das Gerät und/oder den Benutzer sperrt bzw. das Passwortes des Benutzers ändert, was die Windows Hello Anmeldung auch ungültig machen sollte?
Ist zwar weiterhin ein neues Risiko, was dann vorhanden ist, aber ich weiss nicht ob es so schlimm ist, dass man aktiv dagegen vorgehen muss.
Nur um mein Verständnis zu verifzieren:
Ist jetzt Windows Hello insgesamt unsicher oder nur die biometrische Funktion in Hello, nicht aber die PIN in Hello?
Könnte ich auch die Hello-PIN-Datenbank auf dem gleichen Wege manipulieren?
Ist ja schon ein Unterschied, ob ich Hello gar nicht mehr oder (nur) mit PIN verwenden kann/sollte.
die Lücke geht darum:
Windows Hello ermöglicht es sich am Rechner anzumelden, z.b. via Fingerabdruck, oder Gesichtserkennung
Es gibt nun Rechner welche diese Biometrie Daten im Chip sichert, und es gibt Rechner die erzeugen einen simplen Hash-Code und speichern den in einer Datenbank wie ein Kennwort auch.
Wenn man Administrator eines Rechners ist, kann man auf alle Files zugreifen. Und man kann dann z.b. den Hash eines Gesichts von einem Rechner auf einen anderen übertragen.
Das geht bei Rechnern, die dieses Hash in einem Chip speichern nicht.
Die Lenovo hat mal Werbung damit gemacht… ist aber schon eine Weile her:
https://download.lenovo.com/pccbbs/mobiles_pdf/l490_l590_ug_v2_en.pdf
Seite 42:
"The fingerprint data is stored in a dedicated chip and the fingerprint image is converted into a digital representation (hash) that never leaves the sensor. This ensures that your biometric data remains secure."
Und die PIN ist sicher(er), weil nicht im Chip gehasht?
Kann ich die Hello-PIN nun noch nutzen oder ist das genauso unsicher, das habe ich ehrlich gesagt noch nicht ganz verstanden.
Man kann halt Dinge machen die die Leute nicht erwarten.
PIN kann man nur einen haben, Biometrie aber mehrfach.
Wenn jemand den PIN austauscht merkt das der Benutzer.
Wenn jemand einen Finger dazu packt, ein 2. Gesicht, ändert sich für den Benutzer nichts. Nur dass dann jemand 2. auch das Gerät entsperren kann.
Die Lücke gehört zur Kategorie, es ist eine dumme Idee jemanden mit Admin Rechte via Biometrie anzumelden.
Das Thema war schon oft Teil jedes besseren Actionfilms.
Warum sollte ich biometrische Daten in ein Computersystem geben, das von einem amerikanischen Unternehmen beherrscht wird? Dafür gibt es keinen Grund.
Sag das mal all den Apple Face ID und Touch ID und Android Gesichtserkennung und Fingerabdruck Nutzern…
Lenovo ist chinesisch.
Und das schöne an Biometrie, man hinterläßt sie andauern, überall. Haare, Fingerabdrücke, DNS Spuren..
Windows Hello (um das es hier geht) ist chinesisch?
Es geht doch in der "Lücke" gar nicht um Windows Hello.
Sondern dass die Biometrie von einem Gerät auf ein anderes übertragen werden kann.
Ob das nun Windows Hello ist, oder PAM unter Linux, spielt da nicht so die Rolle.
Das Problem gibt es sicher auch unter Android.
Und was hat das mit "Lenovo ist chinesisch" zu tun?
Also faktisch keine Biometrie verwenden, weil gefühlt alles amerikanisch ist ;-)
Eine PIN kann ich ändern, meine Fingerabdrücke nicht.
Biometrie zum entsperren benutzen?
Mal nachdenken: "nein"
Moment, ich überleg´s mir nochmal: "Nein!"
Und selbst wenn ich darüber geschlafen habe: "NEIN!"
Wieso sollte ich wollen, dass biometrische Daten von mir IRGENDWO landen?
(Und dann ausgerechnet bei der Schmiede von M$?)
Das hat nichts mit amerikanisch oder sonstwas zu tun, wie mein Vorredner Gast hier anmerkt, das ist einfach logischer Menschenverstand: Ein Passwort kann geändert werden, ein FIDO-Stick ausgetauscht. Meine Biometrie ist in meinem Körper eingebaut.
Moin Günter.
Schau mal den letzten Satz an, die Empfehlung der Sicherheitsforscher: "Deaktivieren Sie die Biometriefunktion der Geräte, Hello for Business ohne ESS verwendet wird und lassen Sie die Benutzer sich weiterhin per PIN anmelden." – Es wäre doch schön, gerade bei der Empfehlung mehr Sorgfalt beim Schreiben walten zu lassen, damit der Sinn nicht entfremdet wird. Die Empfehlung sollte wohl lauten, dass nicht Windows hello generell ein Problem hat, sondern zumindest die Windows hello PIN weiterhin sicher verwendbar ist. Ebenfalls hat Hello nur dann ein echtes Problem, wenn man es auf Geräten einsetzen möchte, die Enhanced Sign-in Security (ESS) nicht beherrschen. Und hierauf sollte der Artikel ausgiebig eingehen – welche aktuellen Geräte können das nicht? Dass die Entdecker irgendwelche AMD-Thinkpads vor kurzem erworben haben und die kein ESS können, ist interessant, ersetzt aber keine Recherche.
Konversation mit ChatGPT5: https://chatgpt.com/share/6899e3c8-5ce0-8004-a727-fea104a1df63 liefert konkrete AMD-basierte Thinkpad-Modelle, die mit MIPI-Kameras, die wohl recht sicher nicht ESS-fähig sind, noch 2024 zu kaufen waren: https://chatgpt.com/share/6899e3c8-5ce0-8004-a727-fea104a1df63