Ich bin seit Kurzem im Besitz eines neuen Windows-PCs, der mit Windows Hello ausgestattet ist. Unter der Bezeichnung subsumiert Microsoft die diversen Login-Methoden, die es bei Windows gibt, namentlich die biometrischen Möglichkeiten mittels Fingerabdruck und Kamera. Mein Laptop hat eine Kamera für die Gesichtserkennung und einen Scanner für den Fingerabdruck.
Das ist praktisch, weil es den Anmeldevorgang beschleunigt. Damit sind die Optionen von Windows Hello jedoch nicht ausgereizt: Wie beim iPhone, iPad und Mac identifiziert man sich nicht nur beim Einloggen ins Betriebssystem-Konto, sondern kann auch Apps entsperren. Das erspart mir dort die Eingabe langer Passwörter. Und ich vereinfache auch den Zugang zu meinem Passwortmanager. Die Keepass-Variante für den Mac und iOS, die die Datenbank biometrisch entsperrt, heisst Kypass. Ich habe Sie im Beitrag Erstklassiger Passwortmanager fürs iPhone und den Mac ausführlich vorgestellt.
Die Passwort-Datenbank biometrisch entsperren
Nun liegt es auf der Hand, mit der passenden Hardware auch unter Windows die Passwort-Datenbank biometrisch zu entsperren. Das funktioniert mit vielen Programmen, namentlich mit 1Password, Lastpass und Dashlane. Und es klappt auch mit Keepass, dem Open-Source-Passwortmanager, den ich seit mindestens 2007 verwende.
Um in Keepass Windows Hello zu verwenden, benötigt man ein Plugin namens Keepasswinhelloplugin.plgx. Das gibt es auf Github, wo auch der Quellcode eingesehen werden kann.
Für die Installation deponiert man das Plugin im passenden Ordner. Zu dem gelangt man, indem man in Keepass auf Extras > Plugins klickt und den am unteren Rand des Dialogfelds befindlichen Knopf Ordner öffnen betätigt. Jetzt sollte der Ordner C:\Program Files\KeePass Password Safe 2\Plugins geöffnet werden, in den man die plgx-Datei verschiebt.
Entsperren nach Inaktivität oder auch nach dem Start von Keepass
Nach einem Neustart der Anwendung ist in diesem Dialogfeld das Plugin aufgeführt. Es wird über Extras > Optionen im Reiter Windows Hello konfiguriert. Es gibt hier folgende Einstellungen:
Die Option Use quick unlock via Windows Hello authorization if it is available entsperrt die Passwortdatei via Windows Hello, wenn der Passwortmanager sich nach einem Timeout automatisch gesperrt hat. Die korrespondierenden Einstellungen findet sich im Reiter Sicherheit bei Arbeitsfläche nach Keepass-Inaktivität sperren (Sekunden) und bei Arbeitsfläche nach globaer Inaktivität sperren (Sekunden).
Mit dieser Option muss man Keepass aber zumindest nach dem Start der Software mit Passwort entsperren. Es gibt bei Windows Hello aber die Option Store keys in the Windows Credential Manager. Sie sorgt dafür, dass das Passwort nach der erstmaligen manuellen Entsperrung in Windows gespeichert wird, woraufhin die Datenbank auch nach dem Start mittels biometrischer Authentifikation entsperrt werden kann.
Im Feld Saved keys get invalidated after… gibt man an, wie lange die in Windows gespeicherten Passwörter gültig sind. Nach Ablauf der Zeit muss man sein Passwort wieder manuell eintippen.
Das alte Dilemma: Komfort versus Sicherheit
Es ist Geschmackssache, wie lange man diese Zeitdauer setzen möchte: Je länger, desto komfortabler – doch auch das Risiko wird grösser, denn wenn man sein Hauptpasswort nie eintippen muss, vergisst man es irgendwann. Ich habe die Zeitdauer auf eine Woche gesetzt, aber mal sehen – vielleicht reduziere ich sie aus Sicherheitsgründen wieder.
Es bleibt dabei, dass diese Komfortfunktionen ein Risiko beinhalten und man sicherer unterwegs ist, wenn man seine Geräte und Apps niemals biometrisch entsperrt. Ich halte es für vertretbar, die Funktionen im normalen Alltag zu nutzen. Bei Reisen ins Ausland würde ich sie, je nach Destination, abschalten, beispielsweise für Trips in die USA.
Beitragsbild: Wenn Windows so nett «Hello» sagt, ist es nur recht und billig, diesen Gruss genauso euphorisch zu erwidern (Andrea Piacquadio, Pexels-Lizenz).