Besser könnte ich es nicht ausdrücken, daher die Sichtweise des BSI zur Thematik:
5. Welche Nachteile bringt Biometrie mit sich?
Das körperliche Charakteristikum kann im Allgemeinen nicht geheim gehalten werden. Im Gegenteil liegen viele der für eine biometrische Erkennung verwendeten körperlichen Merkmale, wie Gesicht und Finger, offen. Deshalb müssen biometrische Erkennungssysteme auch prüfen, ob der Anfragende am Leben ist – damit wird erschwert, dass Systeme z. B. mit einem Foto getäuscht werden. Biometrische Charakteristiken können schließlich nicht übertragen oder weitergegeben werden. Zudem können einmal gestohlene Daten über biometrische Eigenschaften dazu führen, dass dieses Merkmal nicht mehr zur Sicherung von Diensten eingesetzt werden sollte. Ist der Fingerabdruck einmal bekannt, können Kriminelle diesen bei jedem Dienst missbrauchen, bei dem der Abdruck hinterlegt ist – der Abdruck lässt sich nicht wechseln oder ändern. Passwörter können dagegen beliebig oft gewechselt und zurückgesetzt werden. Wenn Ihre biometrischen Daten gestohlen werden oder verloren gehen, könnten sie dauerhaft gefährdet und nicht mehr sicher nutzbar sein.
17. Benötige ich mit Biometrie kein Passwort mehr bzw. kann ich nun ein einfaches Passwort immer wieder verwenden, weil es nicht mehr wichtig ist?
Das Passwort ist auch in Verbindung mit Biometrie weiter ein wesentlicher Faktor für den Schutz von Online-Diensten, z. B. bei einer Zwei-Faktor-Authentisierung. Kein Faktor kann für sich einen hundertprozentigen Schutz gewährleisten, aber in der Kombination bieten starke Passwörter und Biometrie in der Regel einen ausreichend guten Schutz.
Biometrische Systeme hacken kann doch jeder
Ein Kennwort läßt sich ändern, bei der menschlichen DNA wird es schwierig. Die Idee ein Pseudo-Geheimnis zu verwenden, welches man überall hinterläßt um einen sicheren Zugang zu bekommen ist eine absolute Schapsidee (🍄oder anderen Halluzinogen🍄) . Fingerabdrücke lassen sich überall abnehmen und daraus einen funktionalen Abdruck erstellen. Ob die Lebenderkennung hier ein große Hürde darstellt, ist fraglich fragil. Verliert sich das Notebook exkl. einem pre-boot Kennwort in Bitlocker & Co, so ist nur der Fingerprint die letzte Hürde. Der Fingerprint befindet sich allerdings genau auf dem Gerät - finde den Fehler.
Manipulation der Fingerprint-Sensoren (match on chip) selbst umgehen HELLO for Business (außer es ist kein Booten per USB etc. und preboot-pw in Bitlocker aktiviert). MS hat das Enhanced Sign-in Security erfunden um Manipulationen direkt am Fingerprint-Leser zu verhindern. Lustig dabei, daß gerade das gehackte Microsoft Surface 8 diese Härtung nicht hatte.
https://www.theregister.com/2023/11/22/windows_hello_fingerprint_bypass/
https://www.kaspersky.com/blog/securing-biometrics-windows-hello/
Wenn Windows HELLforBusiness nicht sauber funktioniert, gibt es als Backup eine 4-6 stellige PIN. Stellt man dies in der GPO 'geschickt' ein, so bruteforced man diese schnell und schon ist der Drops gelutscht. Meanwhile wird die PIN sicher (MS-sicher) im TPM gespeichert.
Die PIN - 4711
Computerkonfiguration → Administrative Vorlagen → System → PIN-Komplexität 4711 möglich?
"Enhanced Sign-in Security
Zitat:
"What happens when an unauthorized user gains possession of a device enrolled in Windows Hello for Business?
The unauthorized user won't be able to utilize any biometric options and will have the only option to enter a PIN.
If the user attempts to unlock the device by entering random PINs, after three unsuccessful attempts the credential provider will display the following message: You've entered an incorrect PIN several times. To try again, enter A1B2C3 below. Upon entering the challenge phrase A1B2C3, the user will be granted one more opportunity to enter the PIN. If unsuccessful, the provider will be disabled, leaving the user with the only option to reboot the device. Following the reboot, the aforementioned pattern repeats.
If unsuccessful attempts continue, the device will enter a lockout state, lasting for 1 minute after the first reboot, 2 minutes after the fourth reboot, and 10 minutes after the fifth reboot. The duration of each lockout increases accordingly. This behavior is a result of the TPM 2.0 anti-hammering feature. For more information about the TPM anti-hammering feature, see TPM 2.0 anti-hammering."
Naja. Was ein Aufwand für Merkfaulheit mit potentiellen (Soll)Bruchstellen