Passwörter, wie geheim sind sie wirklich?

Zum Thema “Windows Sicherheit” habe ich vor einer Weile eine Blog-Serie begonnen. Dies ist inzwischen bereits der dritte Teil dieser Serie:

und wenn ich Zeit habe, werden bis Ende des Jahres voraussichtlich noch die Anderen folgen.


Informationen stellen heute das zweitwichtigste Gut (nach den Menschen) in einem Unternehmen dar. Leider sind diese Informationen oft nicht ausreichend geschützt, so dass es Angreifern (eigene Mitarbeiter oder Fremden) oft leicht fällt, Zugriff auf diese zu erhalten. Im zweiten Teil dieser Serie habe ich Ihnen die Risiken aufgezeigt, wie einfach es doch ist, ein Windows System komplett zu übernehmen. Um dieses Risiko zu minimieren, habe ich Ihnen empfohlen die Festplatte zu verschlüsseln (z. B. mit Bitlocker).

In diesem Teil der Serie möchte ich Ihnen zeigen, wie gut bzw. schlecht die Sicherheit von Passwörtern von Benutzerkonten in Windows (und natürlich auch von vielen anderen Systemen) ist, welche Angriffsszenarien bestehen und wie Sie sich davor schützen können. Doch auch bei Passwörtern gilt (wie bei vielen anderen auch): Einen 100%igen Schutz gibt es nicht. Solange außer Ihnen noch andere Personen physikalischen Zugang zu einem Computer haben, eine Netzwerkverbindung oder sogar eine Internetverbindung vorhanden ist, besteht immer das Risiko, das Passwörter (oder andere Daten) ausspäht werden.

Für diesen Artikel hat mir wiederum ein Video von Microsoft TechEd 2013: Live Demonstration: Hacker Tools You Should Know and Worry About wertvolle Hilfestellung geleistet. Es lohnt sich auf jeden Fall, sich dieses anzusehen. Darin wird nicht nur auf die Sicherheit von Passwörtern eingegangen, sondern auch andere Techniken vorgestellt, die von Hacker verwendet werden, um Systeme zu cracken. Leider werden in den Video viele Tools und deren Verwendung gezeigt, doch kommt aus meiner Sicht der Teil zu kurz, der beschreibt, wie Sie sich davor schützen können.

Ein Artikel, der sich mit dem Passwort-Thema im SQL Server beschäftigt hat, habe ich bereits vor einiger Zeit veröffentlicht. Für alle, die gerne nachlesen wollen, finden den Artikel unter http://flurfunk.sdx-ag.de/2013/10/sql-server-passwortsicherheit.html.

Die in diesem Artikel beschriebenen Möglichkeiten und Tools sind nicht als Anleitung für Hacker zu verstehen, sondern sie sollen die Probleme und Risiken bei der Verwendung von (Windows-Benutzer-)Passwörter aufzeigen. Die meisten Hacker kennen diese (und noch viele andere) Möglichkeiten sowieso, denn sie sind bereits mehrfach im Internet dokumentiert.

Rechtliches

2007 erfolgte eine Änderung des Strafgesetzbuches und der Paragraf 202c (sogenannte Hackerparagraf) wurde eingeführt. Dieser besagt folgendes:

§ 202c: Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder

2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

In diesem Sinne sollte sich jeder überlegen, ob er versucht Passwörter abzugreifen (egal ob mit technischen Hilfsmitteln oder einfach nur durch genaueres Hinsehen), um diese zu verwenden, sich unerlaubten Zugang zu einem fremden System zu verschaffen.

Anders sieht es jedoch aus, wenn man auf seinem privaten Computer (oder einem anderem System) zu Hause sein Passwort vergessen hat und es wieder nutzen möchte. In einem solchen Fall können Sie natürlich gerne meinen Vorschläge folgen.

Grundlagen

Passwörter von Benutzerkonten in Windows werden im Security Account Manager (SAM) verwaltet. Dieser speichert die Informationen im Dateisystem unter

C:\WINDOWS\system32\config\sam

Diese Datei ist Bestandteil der Registry und der entsprechende Schlüssel dazu befindet sich unter

HKEY_LOCAL_MACHINE\SAM

Das Dateiformat ist ein offizielles nicht dokumentiertes binäres Format. Der (lesende) Zugriff auf diese Objekte ist bei einem laufenden Windows System nicht möglich (Datei wird von einem anderen Prozess gesperrt).

Benutzerkennwörter werden in der SAM-Datei verschlüsselt abgelegt.

Der Security Account Manager ist bereits seit vielen Windows Version Bestandteil des Systems und ist im Windows Dienst lsass.exe integriert. Dieser befindet sich im System32-Verzeichnis.

image

Auf Domain Controller werden diese Informationen des Active Directory in die Datei NTDS.DIT gespeichert.

Passwörter werden in Windows nicht im Klartext, sondern nach einem bestimmten Verfahren als HASH-Wert abgelegt. Der Algorithmus für dieses Verfahren ist abhängig von der Windows Version.

Schema Verfahren Schlüssel-länge1 Windows-Versionen
LM DES 56-bit Windows XP, Windows Server 20032
NT MD4 128-bit in allen unterstützten Windows-Versionen
Digest MD5 128-bit in allen unterstützten Windows-Versionen
AES3 Advanced Encryption Standard (AES) 128-bit
256-bit
Windows Vista, Windows 7
Windows 8, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

1Ein längeres Passwort als die Schlüssellänge bietet keinen zusätzlichen Schutz. (56bit=7 Zeichen, 128bit=16 Zeichen, 256bit=32 Zeichen).
2Dieses Verfahren ist auch in späteren Windows-Versionen verfügbar, jedoch standardmäßig deaktiviert.
3Nur bei Computern verfügbar, die mit einer Windows-Domäne verbunden sind. Dieses Verfahren ist in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen

Wer solche Hash-Werte auf seinem Computer auslesen will, kann dafür z. B. ein PowerShell-Skript verwenden.

Passwortregeln

Passwörter sollten so sicher sein, dass sie durch niemanden erraten werden können und so komplex sein, dass sie auch durch den Einsatz von Computern nicht innerhalb eines bestimmten Zeitraums (bis zur nächsten Änderung des Kennworts) entschlüsselt werden können.

Was als hehres Ziel bei der Generierung von Passwörtern zu verstehen ist, lässt sich in der Praxis jedoch kaum umsetzen. Da spielen Gesichtspunkte wie Vergesslichkeit, Unachtsamkeit, Einfallslosigkeit, Beschränkungen in Systemen und sicherlich noch viele andere Kriterien eine Rolle. Wie sonst lässt sich die folgende Liste der am häufigsten verwendeten Passworte in 2013 erklären:

Platz in 2013 Passwort Platz in 2012
1 123456 2
2 password 1
3 12345678 3
4 qwerty 5
5 abc123 4
6 123456789
7 111111 9
8 1234567 13
9 iloveyou 11
10 adobe123

Quelle: http://splashdata.com/press/worstpasswords2013.htm

Sicheres Passwort

Doch wie können Sie ein sicheres Passwort erstellen. Dazu gibt es mehrere Ansätze, die alle ihre Vor- und Nachteile haben:

  • sinnlose Zusammenstellung von Zeichen (z. B. r5Z%99.?q!êT)
    Diese bieten natürlich die höchste Sicherheit. Das hat jedoch den Nachteil, dass man sich die Zeichen und die Reihenfolge unmöglich merken kann. Also muss man sie aufschreiben und hebelt dadurch gleich wieder die Sicherheit aus.
    Wer einfallslos ist (und nicht wild auf der Tastatur herumhacken möchte), kann dafür auch einen Passwort-Generator verwenden.
  • mehrere Worte (z. B. “Heute1ist2ein3schöner4Tag”)
    Bei diesem Verfahren werden einfach mehrere Worte durch bestimmte Trennzeichen miteinander verbunden. Aufgrund der Länge und Komplexität erreicht man so eine hohe Sicherheit. Als Nachteil sehe ich hier jedoch die Länge des Passworts, die oft zu einem Vertippen führt.
  • Zusammenfügen eines Satzes (z. B. “Ein Vogel wollte Hochzeit machen in dem grünen Walde” = EVwHmidgW)
    Hierbei wird von jedem Wort ein Buchstabe verwendet (wie im obigen Beispiel der Anfangsbuchstabe). Dieses Verfahren bietet eine hohe Sicherheit (bei entsprechender Passwort-Länge) und trotzdem lassen sich diese verhältnismäßig leicht merken und schnell eingeben. Nachteil: Häufig nur auf Buchstaben begrenzt (keine Zahlen und Sonderzeichen).
  • Ersetzung von Zeichen in bekannten Worten (z. B. P@ssw0rd) – Das ist der Klassiker in Microsoft Systemen.
    Bei diesem Verfahren werden einfach bekannte Zeichen durch andere Zeichen ersetzt, die jedoch wieder auf das ursprüngliche Zeichen Rückschlüsse zulassen (z. B. a = @, 4 = A, o = 0). Die Sicherheit ist nicht schlecht, doch leider sind die möglichen sinnvollen Ersetzungszeichen eher begrenzt und lassen sich somit durch entsprechende Tools auch problemlos reproduzieren.

image

Quelle:  Bild von Randall Munroe wurde auf dem Cartoon-Dienst xkcd.com veröffentlicht.

Nachdem ich Ihnen einige Best Practices bei der Erstellung von Passwörtern gegeben haben, möchte ich auch einige Punkte auflisten, die Sie auf keinen Fall tun sollten:

  1. Passwort = Benutzername
  2. Passwort kürzer als 8 Zeichen
  3. Namen von Familienmitgliedern, Haustieren, Automarken, Farben, …
  4. nur Buchstaben oder nur Zahlen (Geburtstage, Telefonnummern) verwenden
  5. Buchstaben und Zahlenreihenfolgen (von Tastatur)
  6. gleiches Passwort für verschiedene Systeme/Benutzerkonten
  7. Weitergabe von Passworten (weder geschrieben noch gesprochen)
  8. ältere Passworte wiederverwenden
  9. ähnliche Passworte verwenden (Te@7st, Te@8st, Te@9st)
Passwortgeneratoren

Im Folgenden nur eine kleine Auswahl (ohne Anspruch auf Vollständigkeit).

lokale Lösungen

weitere Lösungen unter http://lifehacker.com/5042616/five-best-password-managers

Cloud-Lösungen

Bei den Cloud-Lösungen sollten Sie beachten, dass möglicherweise Rückschlüsse auf Ihre Anfrage hergestellt werden können (z. B. über einen geschwätzigen Browser) und somit das Passwort nicht zwingend sicher ist.

Passwort-Validierung

Microsoft hat auf einer Webseite vier Regeln für die Erstellung von Kennwörtern aufgelistet und zusätzlich eine Webseite bereitgestellt, auf der Sie prüfen können, wie sicher Ihr Passwort in Wirklichkeit ist (geprüft wird hier auf Länge und Komplexität). Außer Microsoft gibt es natürlich noch weitere Anbieter von Webseiten, die die Qualität von Passwörtern überprüfen können. Hier eine kleine Auswahl:

Diese sind meiner persönlicher Meinung nach besser und leistungsfähiger als die Seite von Microsoft und ich würde Ihnen empfehlen, eine dieser Seiten zu verwenden, wenn Sie überprüfen wollen, welchen Sicherheitsstandard Ihr Passwort entspricht.

Der Nachteil einer solchen Seite ist, dass Sie auf einer öffentlichen Webseite ein Passwort eingeben, dass Sie zum Schutz Ihrer Daten verwenden wollen. Niemand weiß, was mit den dort eingegeben Daten passiert und wer noch alles Zugang dazu hat. Deshalb kann ich nur empfehlen: FINGER WEG!

Passwortsicherheit in Windows verbessern
Lokale Policy

Mit dem Policy Editor secpol.msc können Sie einige Einstellungen vornehmen, um die Sicherheit von Passwörter lokaler Benutzerkonten zu verbessern.

image

Eine ausführliche Beschreibung der verschiedenen Einstellungen finden Sie unter: http://windows.microsoft.com/de-de/windows/change-password-policy-settings#1TC=windows-7

Domain Policy

Handelt es sich bei einem Benutzerkonto um ein Domänenkonto, so greifen dort weitere Sicherheitsmaßnahmen (wie z. B. das Sperren von Konten nach mehrmaliger Falscheingabe des Passworts). Durch die Verwendung entsprechend komplexer Passwortregeln, wird eine Reproduktion des Passwortes weiter erschwert.

Die Einstellungen dazu können Sie im ADAC vornehmen (nicht der Allgemeiner Deutscher Automobil-Club, sondern das Active Directory Administative Center).

image

bzw. mit PowerShell-CmdLet:

New-ADFineGrainedPasswordPolicy “Domain Admins PSO” `
-ComplexityEnabled:$true `
-LockoutDuration:”01:00:00″
-LockoutObservationWindow:”00:45:00″ `
-LockoutThreshold:”3″ `
-MaxPasswordAge:”60.00:00:00″ `
-MinPasswordAge:”55.00:00:00″ `
-MinPasswordLength:”7″ `
-PasswordHistoryCount:”30″ `
-Precedence:”1″ `
-ReversibleEncryptionEnabled:$false `
-ProtectedFromAccidentalDeletion:$true

Das soll natürlich nicht heißen, dass ein solches Passwort nicht zu reproduzieren wäre – auch dafür gibt es Tools.

Angriffsszenarien

Gedächtnisstützen

Leider findet man auch heute noch Post-Its mit dem Windows (oder anderen) Passwort unter der Tastatur oder irgendwo am Arbeitsplatz. Bei solchem Leichtsinn benötigt man keinen Aufwand, um das Passwort einen Benutzers herauszufinden.

Als Alternative verwenden einige Personen (häufig Administratoren) Tools zur Speicherung von Passworten. Bei diesen Tools sollte jedoch darauf geachtet werden, dass sie über Schutzmechanismen verfügen, die ein Auslesen des Passworts für Unbefugte unmöglich macht. Text-, Word- und Excel-Dateien bieten somit keinen Schutz und sollten dafür nicht verwendet werden! Zwischenzeitlich gibt es auch entsprechende Lösungen in der Cloud. Doch auch hier sollten Sie vor einer Verwendung genau nachsehen, wo und wie die Passwörter gesichert und abgelegt werden und wer außer Ihnen noch Zugang dazu hat.

Passworteingabe

Der berühmte Blick auf die Finger bei der Eingabe eines Passworts, soll an dieser Stelle außer acht gelassen werden, ist aber mit hoher Wahrscheinlichkeit eine der häufigsten Methoden, um ein Passwort zu erfahren. Wer nicht Zeit hat, jemanden ständig über die Schulter zu schauen, kann jedoch auch technische Hilfsmittel einsetzen. Die wohl einfachste Möglichkeit ist dabei ein Keylogger/Keygrabber, der alle Eingaben über die Tastatur mitprotokolliert. Von diesen Systemen gibt es zwei Ausführungen:

  1. Hardware (Keygrabber)
    Die Hardwarelösung wird einfach zwischen Tastatur und Computer gesteckt und fällt im Normalfall (Computer unter dem Schreibtisch) überhaupt nicht auf. Um ein entsprechendes Gerät zu finden, muss man regelmäßig den Tastaturanschluss am Computer untersuchen – doch wer macht das schon.
    Keylogger
    Die Geräte gibt es bereits für wenige Euro zu kaufen und sind zwischenzeitlich so ausgereift, dass sie nicht nur Tastaturanschläge, sondern auch Gespräche (z. B. Telefonate) aus dem Raum und Screenshots vom Bildschirm mit aufzeichnen und anschließend die protokollierten Daten auf vielfachen Wegen (WLAN, Bluetooth, Internet, Funk, Email) bereitstellen können. 
  2. Software (Keylogger)
    Es gibt verschiedene Tools, die die Protokollierung von Tastatureingaben ermöglichen. Befindet sich die Software einmal auf einem Computer, so ist diese nur schwer zu lokalisieren und zu beseitigen. Eine Softwarelösung erfordert jedoch immer eine Bereitstellung/Installation auf einem Computer. Dies muss nicht zwingend durch den Besitzer des Computers erfolgen. Auch andere Personen die Zugriff auf einen Computer haben, können dies unbemerkt installieren (Computer nicht gesperrt oder “Darf ich mal kurz Deinen Computer verwenden?”). In der Vergangenheit gab es bereits einige Beispiele, dass vorinstallierte Systeme bereits mit einem Keylogger vom Computer-Hersteller ausgestattet waren.

Einen sicheren Schutz vor solchen Lösungen gibt es nicht. Augen offen halten und gesunder Menschenverstand können jedoch helfen, solche Systeme zu erkennen.

Inzwischen gibt es jedoch auch akustische Lösungen um Tastatureingaben zu analysieren. Eine Studie hat belegt, dass man anhand des Schreibgeräuschen auf einer Tastatur mit einer Wahrscheinlichkeit von 96% erkennen kann, was der Anwender geschrieben hat (d. h. bei 100 Zeichen sind nur 4 Zeichen falsch –> in den meisten Fällen reicht das aus ein Passwort eindeutig zu identifizieren).

Auslesen des Passworts

Wenn ein Benutzer auf einem Windows System sein Passwort ändert, so wird dieses in verschlüsselter Form (als Hash-Wert) auf dem Computer abgelegt (egal ob es sich dabei um ein lokales oder um ein Domain-Konto handelt. Die Speicherung erfolgt dabei auf drei unterschiedlichen Arten: LM (LanMan) hash, NT hash und cached-credentials hash. Diese so abgespeicherten Passwort-Hashes lassen sich auslesen und analysieren (siehe Artikel: Protecting Privileged Domain Accounts: LM Hashes — The Good, the Bad, and the Ugly). Dieses Verfahren wird auch als Pass-the-Hash Attacke bezeichnet und Microsoft hat dieser Angriffsmethode ein umfassendes White Paper mit entsprechenden Vorschlägen zur Vermeidung gewidmet.

Dazu sollten wir uns zuerst die Möglichkeiten ansehen, wie Hash-Werte entschlüsselt (wieder in Klartext-Passwörter umgewandelt) werden können:

  • Wörterbuch-Methode (Dictionary)
    Eine Liste der am häufigsten verwendeten Passwörtern wird dazu angelegt oder bereits vorgefertigt aus dem Internet geladen (z. B. von http://scrapmaker.com/view/dictionaries/rockyou.txt). Anschließend wird jedes Passwörter verwendet, um sich an einem System anzumelden oder die Passwörter aus der Datei werden in Hash-Werte umgewandelt und mit den Hash-Werten auf einem System verglichen. Eine Liste von 100 Mio. Passworten ist so in wenigen Sekunden abgearbeitet und mit einer hohen Wahrscheinlichkeit findet man damit bereits ein passendes Passwort, um zu einem Computer Zugang zu erhalten.
  • Rainbow Table
    Eine Abwandlung der Wörterbuch-Methode ist die Verwendung vorberechneter Hash-Werte. Der Vorteil dieses Verfahrens ist die wesentlich höhere Geschwindigkeit bei der Analyse von vielen Hash-Werten. Auch hier gibt es bereits vorgefertigte Dateien, die man aus dem Internet laden und sofort verwenden kann.
    2003 hat Dr. Philippe Oechslin und sein Team vom Schweizer Bundesinstitut für Technologie in Lusanne einen Weg gefunden, wie man anhand von vorberechneten HASH-Werten (Rainbow Table) Passworte rekonstruieren konnte. Er hat daraufhin das Tool Ophcrack mit entwickelt.
  • Brute Force-Methode
    Wie der Name schon sagt, wird bei dieser Methode das Passwort mit allen nur möglichen Zeichenkombinationen generiert und mit einem bestehenden Passwort verglichen. Begrenzt ist diese Methode nur durch die Rechenleistung.

Betrachten wir nun die Brute Force-Methode etwas näher und gehen von einem Szenario aus, bei dem ein Passwort aus 95 verschiedenen Zeichen bestehen kann:

  • Zahlen: 0123456789
  • Buchstaben: abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
  • Sonderzeichen: !"#$%&'()*+,-/:;<=>?@[\]^_`{|}~

Rein mathematisch ergeben sich nun folgende mögliche Zeichenkombinationen:

Anzahl Zeichen Kombinationen
1 951 = 95
2 952 = 9.025
3 953 = 857.375
4 954 = 81.450.625
5 955 = 7.737.809.375
6 956 = 735.091.890.625
7 957 = 69.833.729.609.375
8 958 = 6.634.204.312.890.625

Tools, wie z. B. hashcat, sind bei entsprechender Hardwareausstattung in der Lage eine sehr hohe Anzahl von Zeichenkombinationen pro Sekunde zu verarbeiten. Auf der Webseite von hashcat ist ein Beispiel eines PCs angegeben, der innerhalb von einer Sekunde ca. 174.152.000.000 Zeichenkombinationen in Hash-Werte umwandeln und mit bestehenden Hash-Werten (NTLM) vergleichen kann. Somit ist nach dem o. g. Beispiel eines Passwortes mit 95 unterschiedlichen Zeichen und einer Länge von 8 Zeichen das Passwort nach maximal 10,5 Stunden in Klartext umgewandelt.

Man in the Middle

Insofern man keinen direkten Zugriff auf einen Computer hat, kann man Passwörter bzw. deren Hash-Werte auch remote auslesen. Dazu gibt es verschiedene Möglichkeiten, wenn ein Computer in Betrieb ist.

Tools

Die folgende Übersicht enthält eine Liste von Tools (ohne Anspruch auf Vollständigkeit), mit denen Sie in der Lage sind, Passwörter aus einem Windows (und anderen) System auszulesen und im Klartext darzustellen.

Weitere Informationen zu diesen Tools finden Sie auf der Webseite des jeweiligen Tools bzw. unter http://securitynet.org/password-cracking-quick-guide-success/. Eine Anleitung für die Verwendung dieser Tools liefere ich Ihnen an dieser Stelle absichtlich nicht mit (aufgrund rechtlicher Bedenken). Jedoch gibt es genügend Beispiele für die Anwendung dieser Tools im Internet.

Passwortsicherheit seit Windows 8

Neben der bereits bekannten Möglichkeit der Eingabe eines Passworts, gibt es seit Windows 8 noch zusätzliche Möglichkeiten der Passworteingabe:

Bildcode

Pin

Windows unterstützt einen 4 Ziffern Pincode, der sicherlich als alles andere als sicher zu bezeichnen ist. Die Anzahl der möglichen Kombinationen ist hierbei sehr begrenzt (10.000) und die Vorliebe für bestimmte Kombinationen führt dazu, dass auch Hacker mit wenig Erfahrung auf diesem Weg schnell Zugang zu einem System erhalten werden.

Bildcode

Die Eingabe von Passwörtern an einem Gerät ohne Tastatur (z. B. mit Touch-Screen) ist aufwendig und kompliziert. Deshalb hat Microsoft seit Windows 8 eine Möglichkeit integriert, bei der man Passwörter antippen von bestimmten Punkte, Linien und/oder Kreisen auf einem Bild definieren kann (zum Beispiel Augen antippen, Mund und Nase in einem Gesicht nachzeichnen). Der offizielle Fachterminus heißt: Bild Gesten Authentifizierung (picture gesture authentication, PGA). Bei diesem Verfahren teilt Windows das Bild in ein Gitternetz mit je 100×100 Punkten und speichert die Eingabepunkte als Netzkoordinaten.

Doch wie sieht es damit mit der Sicherheit aus? Sicherheitsspezialisten von der Arizona State und Delaware State University haben herausgefunden, dass es sehr einfach ist, ein solches Bildpasswort zu überlisten. Auf dem 22. USENIX Security Symposium im August letzten Jahres wurden die Ergebnisse vorgestellt und anhand von Experimenten demonstriert. Die Ergebnisse wurden in folgender Studio veröffentlicht: "On the Security of Picture Gesture Authentication". Mit dem vorgestellten Weg war es möglich 48,8% der Passworte zu lösen.

Live-ID

Seit Windows 8 hat Microsoft ein webbasiertes Single-Sign-On-System implementiert. Damit können Anwender “Microsoft-Konten” (“Live-ID”, früher “Passport”) verwenden. Die Anmeldung mit einer Live-ID ist bei der Installation von Windows vorbesetzt und kann deaktiviert werden (wenn man die richtigen Stellen findet). Dann funktioniert aber z. B. der Zugriff auf den App Store nicht, sodass man keine neuen Apps herunterladen kann.

Neben vielen anderen Problemen mit der alten Passport-Technik hat Microsoft die Länge der Passwörter auf maximal maximal 16 Zeichen begrenzt. Mit 16 Zeichen kann man zwar immer noch ein hinreichend sicheres Passwort erstellen, jedoch verzweifeln viele (ich ebenfalls) an dieser Limitierung, wenn man gewohnt ist lange Passworte zu verwenden.

Zusammenfassung

Zu diesem Thema lässt sich bestimmt noch viel mehr sagen (und schreiben). Deshalb stelle ich für Euch hier weitergehenden Lektüre bereit:

Doch möchte ich an dieser Stelle den Artikel beenden. Ich hoffe, dass ich Ihnen die wichtigsten Infos zu dem Thema vermitteln konnte. Sollte noch etwas unklar sein oder Sie noch Fragen haben, freue ich mich auf Ihre Kommentare (gerne auch per Mail).

Advertisements
Über

Die IT-Welt wird immer komplexer und zwischen den einzelnen Komponenten gibt es immer mehr Abhängigkeiten. Nachdem ich durch meine tägliche Arbeit immer wieder vor der Herausforderung stehe, komplexe Probleme zu lösen, möchte ich diese Seite dafür verwenden, Euch den einen oder anderen Tipp zu geben, wenn Ihr vor ähnlichen Aufgabenstellungen steht.

Veröffentlicht in Sicherheit

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: