iOS- und Android-Herausforderer

Sicherheit in Windows 8

19.01.2013
Von Martin  Huber

Authentifizierung

Neben der klassischen Anmeldung mittels Kennwort bietet Windows 8 zwei neue Anmeldetechniken, die für Gerätetypen mit Fingerbedienung (Mobiltelefon und Tablet) besser geeignet sind. Eine davon ist die Möglichkeit, sich mittels einer vierstelligen PIN anzumelden. Diese Methode ist zwar schnell und einfach, bietet jedoch nur einen geringen Schutz vor Angreifern. Demgegenüber verspricht die zweite Methode, die auf Gesten basierende Anmeldung auf Grundlage eines selbstgewählten Bildes, einen vergleichbar hohen Schutz wie die Verwendung eines starken Kennworts bei gleichzeitig minimalem Eingabe-Aufwand. Microsoft nennt diese Anmeldetechnik "Picture Password" beziehungsweise "Bildcode" (in der deutschsprachigen Windows-Variante).

Obwohl die Anmeldung mittels Bildcode für den Einsatz auf Tablets und Smartphones gedacht ist, lässt sie sich auch auf Geräten mit Mausbedienung verwenden. Zum Einrichten muss der Anwender seine Kontoeinstellungen aufrufen und dort die Funktion "Bildcode erstellen" auswählen. Anschließend muss er sein aktuelles Kennwort eingeben und darf danach ein Bild aus seiner Bildersammlung auswählen. Das gewählte Bild wird anschließend in der Größe justiert, so dass es rund zwei Drittel des Bildschirms abdeckt. Zu kleine Bilder werden bei dieser Skalierung arg unansehnlich, man sollte also möglichst ein Bild wählen, dessen Auflösung mindestens der des verwendeten Geräts beziehungsweise Bildschirms entspricht; für die Sicherheit der Funktion spielt dies jedoch keine Rolle.

Picture Password in Windows 8
Picture Password in Windows 8
Foto: Corporate Trust

Die Bildfläche wird für den Benutzer unsichtbar in ein Blockraster unterteilt. Der Benutzer muss auf diesem Bild nun eine Kombination aus drei Gesten zeichnen, die aus geraden Linien, Kreisen und Tippbewegungen bestehen darf. Bei der Anmeldung per Bildcode wird eine zweistufige Prüfung durchgeführt. Als Erstes werden die gezeichneten Gesten als solche betrachtet. Falls eine der Gesten komplett falsch ist (hinsichtlich Typ, Reihenfolge oder Zeichenrichtung), schlägt der Anmeldeversuch direkt fehl. Sofern die gezeichneten Gesten grundsätzlich richtig sind, werden im zweiten Schritt die beim Zeichnen der Gesten berührten Quadratfelder ausgewertet. Durch einen Vergleich mit den gespeicherten Werten wird dann der Grad der Abweichung zu den jeweiligen Referenzgesten bestimmt.

Auf mathematischer Ebene hat Microsoft als Basis für eine Bewertung der Sicherheit dieses Anmeldeverfahrens die Anzahl möglicher "unique gestures" ermittelt (basierend auf der Anzahl möglicher Positionen und der "Nachgiebigkeit" des dahinter stehenden Algorithmus) und diese den möglichen Variationen bei klassischer Passwort- beziehungsweise PIN-basierenden Anmeldung gegenübergestellt. Dabei zeigt sich, dass die Bildcode-Methode bei der aktuell von Microsoft verwendeten Variante mit drei Gesten eine Varianz erreicht, die grob mit der eines fünf- bis sechsstelligen komplexen Kennworts vergleichbar ist. Natürlich bleiben die typischen Probleme der Touch-Eingabe: Durch Spuren auf dem Bildschirm oder Beobachten der Eingabe kann die Sicherheit der Authentisierung deutlich sinken.

Die Anmeldung per Bildcode steht grundsätzlich auch für auf Domänen basierende Benutzerkonten zur Verfügung, kann aber bei Bedarf mittels Group Policy deaktiviert werden. Eine Erhöhung der Anzahl erforderlicher Gesten auf mehr als drei wird bisher leider nicht unterstützt.

Veränderungen am Betriebssystem

Moderne PCs und Laptops werden zunehmend mit einer UEFI-Firmware anstelle des klassischen BIOS ausgeliefert. Neben einer deutlich größeren Funktionsvielfalt bietet diese Plattform die Möglichkeit, die Integrität des installierten Betriebssystems vor und während des Startvorgangs zu prüfen. Hierzu werden klassische PKI-Funktionen eingesetzt, um einerseits die Integrität der einzelnen Komponenten zu gewährleisten und andererseits deren Authentizität anhand einer Liste vertrauenswürdiger Zertifikate sicherzustellen.

Dies versetzt Unternehmen nun erstmals in die Lage, eine Windows-Desktop-Plattform bereitzustellen, die eine durchgängige Validierung und Integritätsprüfung sämtlicher Softwarekomponenten erlaubt. Auf Betriebssystem-Ebene ließ sich dies grundsätzlich auch schon unter Windows 7 realisieren (unter anderem mittels entsprechender AppLocker-Policies), jedoch bestand hier immer noch eine Schutzlücke in der Boot-Phase, also dem Zeitraum vom Einschalten des Geräts bis zum vollständigen Laden der Betriebssystem-Umgebung. In dieser Phase konnte das System durch entsprechende Malware (sogenannte Rootkits) auf einer Ebene kompromittiert werden, die eine Entdeckung dieses Vorgangs aus dem laufenden Betriebssystem heraus schwierig bis unmöglich machte.

Foto: Microsoft

Aufsetzend auf die Secure-Boot-Umgebung der UEFI-Firmware, hat Microsoft in Windows 8 die Abläufe des Startprozesses dahingehend erweitert, dass eine durchgängige Prüfkette über alle Komponenten (UEFI-Firmware, Bootloader, Windows Kernel, Early Anti-Malware Modul, Windows Logon) gebildet wird. Zusätzlich wird während des Betriebs sporadisch geprüft, ob der Zustand des Betriebssystems unverändert ist.

Zur Laufzeit kann die weitere Integrität des Systems mittels der bekannten Maßnahmen sichergestellt werden. Dazu zählen die Beschränkung der Programmausführung auf vertrauenswürdigen Code (zum Beispiel mittels AppLocker Policies, die nur die Ausführung von signierten Programmen vertrauenswürdiger Anbieter erlauben) und der Einsatz geprüfter Metro-Style-Apps aus dem Microsoft Store (siehe oben).