Is de Windows Hello pincode veilig?

Tijdens een update van Windows 10 werd Windows Hello mee geleverd. Windows Hello biedt de mogelijkheid om met behulp van een pincode of biometrische gegevens zoals vingerafdrukken in te kunnen loggen op de pc of het mobiele device. Hierdoor hoeft niet meer met een wachtwoord ingelogd te worden. Een pincode lijkt veel op een wachtwoord maar dan simpeler en het is logisch dat een aantal organisaties daarom aan ons gevraagd heeft of deze pincode wel veilig genoeg is.

Pincode is geen wachtwoord

Om te kunnen begrijpen of deze pincode echt veilig genoeg is, moeten we beginnen om uit te leggen dat een pincode van Windows 10 niet op dezelfde manier werkt als een wachtwoord. Een wachtwoord dat gebruikt wordt voor bijvoorbeeld Office 365, gaat versleuteld via het internet naar de servers van Microsoft om te controleren of u wel degene bent voor wie u zich uitgeeft. Wat dat betreft kan dit wachtwoord vergeleken worden met een sleutel voor het slot van de toegang tot Office 365.

De Windows 10 Hello-pincode, zoals hij officieel heet, gaat niet naar Microsoft om daar gevalideerd te worden. Deze pincode is gekoppeld aan het apparaat waarop het is ingesteld en blijft daar ook. In feite is het in dit opzicht dus een pc-opener. Werk je op twee laptops, dan kun je daarom voor beide apparaten een andere pincode instellen.

Wanneer iemand een pincode bemachtigd heeft, dan kan hij daar nog niets mee omdat hij dan nog niet het apparaat in handen heeft. De pincode hoort immers bij het apparaat. Dit in tegenstelling tot een wachtwoord. Een wachtwoord hoort bij een dienst, zoals Office 365 en heeft iemand uw wachtwoord, dan kan hij daar dus online die dienst mee gebruiken. Ongeacht of hij wel of niet op uw apparaat zit te werken.

Via de pincode naar Office 365

In tegenstelling tot een wachtwoord wordt de pincode dus nergens naar toe verzonden en het wordt niet buiten de pc opgeslagen. Maar hoe kan het dan wel toegang geven tot bijvoorbeeld Office 365? Met behulp van een identity provider (een server bij bijvoorbeeld Microsoft) wordt een relatie gelegd tussen het apparaat en de diensten van Microsoft. Hiervoor wordt een zogenaamd asymmetrical key pair aangemaakt. Op het apparaat staat een sleutel en bij de identity provider staat er een. Pas als deze sleutels worden gecombineerd wordt er toegang gegeven. Het zijn dus deze sleutels die gebruikt worden voor de toegang tot systemen, en niet de pincode zelf.

Dergelijke sleutels zijn zo complex dat u nooit een wachtwoord zou kunnen gebruiken dat daar aan zou kunnen tippen. De pincode is er alleen maar voor om de lokale sleutel mee te kunnen openen. Is de sleutel eenmaal geopend, dan kan die op de achtergrond gebruikt worden voor het inloggen via de identity provider op de diensten die daarlangs geleverd worden. Op die manier kan een gebruiker met de pincode diensten, zoals Office 365, ontsluiten zonder dat er apart op ingelogd hoeft te worden.

Niet voor iedereen

Om Windows Hello te kunnen gebruiken is speciale hardware nodig. Verreweg de meeste nieuwere business apparaten beschikken daar standaard over. Het kan echter voorkomen dat een apparaat dit niet ondersteunt. In dat geval moet men helaas blijven werken met wachtwoorden.

De pincode is veiliger

Kortom, het gebruik van een Hello-pincode niet alleen veilig, het is zelfs een stuk veiliger dan het gebruik van een wachtwoord. Dit omdat er op de eerste plaats twee dingen voor nodig zijn: de pincode en de hardware (feitelijk wordt er dus gebruik gemaakt van dubbele authenticatie).

Maar het is ook veiliger omdat de pincode per apparaat verschillend kan zijn voor dezelfde diensten. Daarnaast wordt de pincode zelf nooit verstuurd. Gebruik dus liever deze Hello-pincode dan een gewoon password!