[Professor Hunt]

Aloha,

ich möchte mich mal etwas beschäftigen mit dem NFC-Unlocking/Anmelden bei Windows 10 bei meinem Arbeitslaptop. Mein Laptop scheint NFC integriert zu haben (HP ZBook X2 G4) und im Internet gibt es eine Reihe von smarten Ringen, die NFC beinhalten. Man hält seine Hand dran und dann entsperrt es sich - so ist mein Gedankengang.

Hat damit schonmal jemand Erfahrungen gemacht?
Bei den meisten Ringen steht nicht da für welche Zwecke sie geeignet sind. Reicht es, wenn sie einen derzeit sicheren NFC-Standard haben und damit funktionieren sie automatisch mit Windows, Android, OS etc?
Sollte man irgendwas beachten? Ich könnt mir über die Firma für 2 Euro son billigen NFC-Ring zum Testen kaufen lassen..oder ist das unsicherer, kaputter Krams aus China?

[foobar]

Bei NFC sind die Tags passive Bauteile ohne eigene Stromversorgung. Das Lesegerät benutzt ein Magnetfeld (üblicherweise mit 13,56 MHz), um Strom in eine im Tag eingebaute Spule zu induzieren. Die versorgt einen Chip mit Strom, welcher dann wiederum durch Laständerungen auf der Spule das Magnetfeld moduliert und so Daten zum Leser zurück übertragen kann.

Ein Sicherheitsmechanismus ist AFAIK nicht vorgesehen. Also jeder, der mit irgendeinem kompatiblen Lesegerät nahe genug heran kommt, kann die Daten auslesen. Der Leser muss sich nicht beim Chip authentifizieren. Theoretisch könnte man das wohl als Aufsatz implementieren, aber dann müsste man spezielle Chips und Leser einsetzen. Allgemein basiert die Sicherheit alleine darauf, dass die Technik nur aus max. 3-4 cm funktioniert. Zumindest, wenn man sich an den Standard hält. Ob das ausreicht, dürfte von den Anforderungen abhängen.

Jetzt ist die Frage: Was für Daten überträgt so ein NFC-Tag eigentlich. Es gibt welche, die melden nur eine eindeutige Kennung (UID) zurück und sonst nichts. Theoretisch kann man das bereits als Authentifikationsmerkmal benutzen. Wer den Chip mit der UID X hat, darf rein. Alle anderen nicht. Hier muss man beachten, dass diese Kennung unterschiedlich lang sein kann. Chips, die nur eine 4 Byte lange UID übertragen, sind weniger sicher als solche, deren UID länger ist. Der neue Perso und Bankkarten eignen sich dafür nicht, weil die bei jedem Auslesen eine neue ID zurückliefern.

Dann kann man auch Daten auf den Chips speichern. Bei manchen lässt sich anschließend ein Schreibschutz einschalten, bei manchen nicht (und dann dich jeder aussperren, indem er deinen Chip überschreibt). Auch diese Daten könnte man als Login benutzen. Die können länger und individueller sein.

Unter Linux würde man ein PAM-Modul benutzen, Windows ab 10 hat Windows Hello im Angebot, mit dem das angeblich gehen. Eigene Erfahrungen habe ich damit nicht. MS hat einige Artikel dazu parat:
https://support.microsoft.com/de-de/...o-security-key
https://docs.microsoft.com/de-de/win...-device-unlock

Meine Einschätzung: Wenn man z.B. in einem Büro mit mehreren Leuten arbeitet und will den eigenen Rechner schnell sperren und entsperren können, wenn man mal eben eine Kaffee holen geht (aber nicht lange weg ist), dann ist sowas vielleicht eine Idee. Für längere Pausen oder über Nacht würde ich eher auf ein gutes Passwort setzen, wenn Sicherheit wichtig ist. Auf jeden Fall ist ein Passwort als Hintertür sinnvoll, falls man sein Token mal verlegt hat.

[Professor Hunt]

Ah...
Das Grundprinzip von NFC ist mir bekannt, aber ich habe erwartet, dass es ähnlich zu anderen Soft/Hardwareprotokollen/konfiguration einfach drölfzig Versionen mit (In-)kompatibilitäten gibt und man erstmal durchsteigen muss, welche Version wo wie unterstützt wird.

Ich habe für die Arbeit jetzt auch einen Yubico-Key zur Authentifizierung und dachte, dass die NFC-Geschichten auch gewisse Standards der Authentifizierung beherrschen statt einfach nur strominduziert irgendeine Nummer rauszuschreien...
Demnach brauch ich eigentlich auch absolut keine weiteren Features, oder? Es soll diese ID rausgeben und gut ist? Dann könnte ich ja auch einen recht billigen Ring nehmen und keinen mit Tausend Features...

Jap, es ist nur für tagsüber gedacht, weil ich den Laptop immer herunterfahre bzw. nach Hause mitnehme.

[Professor Hunt]

Hab mal meinen Yubikey 5 NFC getestet und naja..man braucht ein Windows-Konto und richtet das Ganze online ein. Darauf hab ich schonmal keinen Bock.
Dann kann man auswählen, ob man Extra-Schlüssel per USB oder NFC erkennen lassen will. Ich nehme natürlich NFC und soll danach nochmal den Key in USB reinstecken oder auf den Key tippen. Der Key, der keinen Strom erhält -.-
Ich kanns also nur reinstecken in USB und dann wird er nur als USB Key erkannt, obwohl ich den Wizard mit NFC gestartet habe.

Und nun hab ich am Ende noch einen PIN. Keine Ahnung wozu bzw wo der Unterschied zum Passwort sein soll, aber den gibts auch noch sinnloserweise -.-

[foobar]

Und nun hab ich am Ende noch einen PIN. Keine Ahnung wozu bzw wo der Unterschied zum Passwort sein soll, aber den gibts auch noch sinnloserweise -.-

Die Idee ist wohl, dass man ein langes, sicheres Passwort wählt, mit dem man den Rechner morgens entsperrt und dann für den Quickie zwischendurch die schneller einzutippende PIN nimmt. Ob's Sinn macht, kann man diskutieren. Ist vermutlich besser als wenn Mitarbeiter absichtlich unsichere Passwörter einstellen oder den Rechner gar nicht mehr sperren, wenn sie mal eben auf's Klo gehen.

Theoretisch müsstest du mit dem Gerät auch Gesichtserkennung machen können.

[Professor Hunt]

Die Idee ist wohl, dass man ein langes, sicheres Passwort wählt, mit dem man den Rechner morgens entsperrt und dann für den Quickie zwischendurch die schneller einzutippende PIN nimmt. Ob's Sinn macht, kann man diskutieren. Ist vermutlich besser als wenn Mitarbeiter absichtlich unsichere Passwörter einstellen oder den Rechner gar nicht mehr sperren, wenn sie mal eben auf's Klo gehen.

Theoretisch müsstest du mit dem Gerät auch Gesichtserkennung machen können.

Jup, anscheinend ist der PIN da, um ein gehashtes PW zu entsperren oder als Not-Ersatz falls man Fingerabdruck nimmt und das irgendwie mal nicht klappt. Vom Prinzip her legitim, aber es fragt dich die PIN schon automatisch immer ab bzw. wieso musste ich jetzt mein Windows extra verknüpfen mit einem Onlinekonto für sowas?! -.-

Übrigens gehen Yubikeys teilweise nicht mit Windows Hello, also diesem Anmeldedienst. Ich finde leider auch absolut nicht welche Dinge gehen und welche nicht, da wohl niemand dieses Problem zu haben scheint bzw. es wird gar nicht.

Irgendwie fällt damit auch der gesamte Plan ins Wasser, wenn sich der Key beim Pairen nochmal aktiv melden soll. Das geht bei den meisten Geräten doch gar nicht, wenn sie nicht selbst am Strom angeschlossen sind. Der Yubikey blinkt ja auch erst, wenn er im USB Port steckt. Was für ein Schlamassel

[foobar]

Also ich habe es gerade mal bei meinem Windows 10 1903 getestet und konnte problemlos mit meinem Offline-Konto eine PIN für Windows Hello einrichten (für alle anderen Optionen wie NFC, Fingerabdruckleser oder Gesichtserkennung fehlt meinem PC die passende Hardware).

Was die anderen Geräte angeht: Zumindest bei der Gesichtserkennung weiß ich, dass eine spezielle Kamera nötig ist, die mit IR die Tiefeninformation in der jeweiligen Hackfresse speichert. Damit kann man das System dann auch nicht ganz so leicht austricksen (jedenfalls nicht mit einfach nur Foto vor Kamera halten). Also nicht jede Webcam taugt, sie muss speziell für Windows Hello freigegeben sein. Wenn ich die Fußnoten bei deinem Link richtig lese, sollte dein HP aber so eine Kamera haben.

[Professor Hunt]

Also ich habe es gerade mal bei meinem Windows 10 1903 getestet und konnte problemlos mit meinem Offline-Konto eine PIN für Windows Hello einrichten (für alle anderen Optionen wie NFC, Fingerabdruckleser oder Gesichtserkennung fehlt meinem PC die passende Hardware).

Was die anderen Geräte angeht: Zumindest bei der Gesichtserkennung weiß ich, dass eine spezielle Kamera nötig ist, die mit IR die Tiefeninformation in der jeweiligen Hackfresse speichert. Damit kann man das System dann auch nicht ganz so leicht austricksen (jedenfalls nicht mit einfach nur Foto vor Kamera halten). Also nicht jede Webcam taugt, sie muss speziell für Windows Hello freigegeben sein. Wenn ich die Fußnoten bei deinem Link richtig lese, sollte dein HP aber so eine Kamera haben.

Es gibt keine Offline-Einstellung in dem Menü, sondern anscheinend geht das wirklich nur über ein Onlinekonto, wo man Extraschlüssel aktivieren kann -.-
So sagen es auch alle Anleitungen.
Jap, meine Kamera(s) sind Windows Hello zertifiziert, daher ginge das auch, aber ich will das nicht...creepy und so

[foobar]

Es gibt keine Offline-Einstellung in dem Menü, sondern anscheinend geht das wirklich nur über ein Onlinekonto, wo man Extraschlüssel aktivieren kann

Ich habe in den PC-Einstellungen unter "Konten" -> "Anmeldeoptionen" die Möglichkeit, eine PIN festzulegen. Obwohl ich ein reines Offline-Konto benutze, welches nicht mit einem MS-Konto verknüpft ist. Und damit kann ich dann meinen Desktop entsperren, wenn ich will.

Screenshot

Eventuell muss das Konto mit einem Passwort gesichert sein, denn das musste ich jedes Mal eingeben, wenn ich was an der PIN ändern wollte. Aber ansonsten hat es einwandfrei funktioniert.

So sagen es auch alle Anleitungen.

Da muss man ein bissl gucken, wie alt die sind. Ich habe diese Aussage auch gefunden, aber dann auch den Hinweis, dass es bei einer kommenden Windows-Version auch offline gehen soll. Und der Artikel war schon älter. Also dachte ich mir: Probierste's einfach mal, 1903 ist ja recht neu. Und es hat geklappt.