Erkenn mich!
Kameras und Fingerabdruckleser für Windows Hello
Die Komfortfunktion Windows Hello in Windows 10 erkennt Nutzer anhand biometrischer Merkmale. Wir haben Kameras und Fingerabdruckleser aufgestöbert, um auch ältere Rechner fit für Windows Hello zu machen.
Windows Hello ist ein Subsystem für biometrische Authentifizierung und steckt in jedem Windows-10-PC. Microsoft will darüber Passwörter abschaffen beziehungsweise unsichtbar in den Hintergrund verlegen: Das Einloggen oder die Kaufbestätigung im Windows Store soll über körperliche Merkmale des Nutzers erfolgen – etwa per Gesichtserkennung oder Fingerabdruck.
Das Ganze funktioniert in der Praxis extrem komfortabel und rasant: Bei Rechnern mit Hello-tauglicher Kamera wird man in dem Moment eingeloggt, in dem man sich auf den Stuhl vor dem Monitor oder Notebook setzt – also noch bevor die Finger überhaupt in Tastaturnähe gekommen sind. Bei einem Fingerabdruckleser ist zwar ein Fingerstreich notwendig, doch einfacher und schneller als das Eintippen eines Passworts geht der allemal.
Allein: Die für Windows Hello benötigte Zusatz-Hardware findet man nur in wenigen neuen PCs und Notebooks. Bis dato, also über ein Jahr nach dem Start von Windows 10, gibt es nur rund ein Dutzend Notebooks und All-in-One-PCs mit Hello-fähiger Kamera. Auch Fingerabdruckleser findet man abseits von teuren Business-Geräten nur in wenigen Notebooks und Windows-Tablets.
Zudem sind bislang keine Peripheriegeräte auf den Markt gekommen, die explizit zum Nachrüsten von Windows Hello gedacht sind. Wir haben aber dennoch einige Hello-kompatible Hardware gefunden, mit der man auch älteren PCs und Notebooks mehr Login-Komfort beibringen kann.
Kameras
Die Gesichtserkennung von Windows Hello klappt nicht mit herkömmlichen 2D-Kameras. Stattdessen ist eine Infrarot-Kamera Pflicht, die ein 3D-Modell des Nutzerkopfes liefert. Das macht Manipulationen nahezu unmöglich [1].
Solche Hello-tauglichen 3D-Kameras gibt es nur wenige. Microsofts Kinect-Kamera für die Xbox One kostet rund 100 Euro. Weil die Xbox One einen proprietären Anschluss für die Kinect-Kamera besitzt, benötigt man zusätzlich einen rund 60 Euro teuren Adapter, mit dem man die Kamera an normale USB-3.0-Buchsen von PCs und Notebooks anschließen kann. Eine ältere Variante der Kinect-Kamera für Windows-Entwickler, die man ohne Adapter an PCs nutzen konnte, hat Microsoft im April 2015 abgekündigt – also wenige Monate vor dem Start von Windows 10 samt Windows Hello.
Die Kinect-Kamera hat zwei Nachteile. Durch ihre schiere Größe passt sie bestenfalls an große PC-Monitore, nicht aber an schlanke Notebook-Deckel. Zudem enthält sie einen Lüfter – aber wer will schon am heimischen PC eine permanent rauschende Kamera wenige zehn Zentimeter von sich entfernt haben?
Als deutlich kompaktere und zudem lüfterlose Alternative bietet sich eine 3D-Kamera mit Intels RealSense-Technik an. Intel hat die ältere RealSense F200 lange Zeit als Entwickler-Kit vertrieben; mittlerweile wurde sich durch ein neues Entwickler-Kit mit dem Nachfolger RealSense SR300 ersetzt. Die Entwickler-Kits kann man ausschließlich über Intels US-Webseite bestellen (SR300: 150 US-Dollar); Garantieleistungen bei Defekten schließt Intel per se aus.
Das der aktuellen SR300 beiliegende USB-3.0-Kabel (A auf Micro-B) reicht zwar für den Betrieb am Notebook aus, aber nicht für den Einsatz am PC: Für die Strecke vom oberen Monitor-Rand bis unter den Schreibtisch muss man sich ein längeres Kabel besorgen. Ein USB-Hub im Monitor hilft hier nicht weiter, weil die Kamera an solchen nicht korrekt arbeitet – das steht aber auch so in der Anleitung.
Die Hardware der RealSense-Kits lässt Intel seit jeher von Creative fertigen. Im August hatte Creative angekündigt, dass es das SR300-Modell auch ganz offiziell unter dem Namen BlasterX Senz3D geben wird. Kurz vor Redaktionsschluss konnte man die Kamera dann tatsächlich bestellen: Creative verkauft sie exklusiv im hauseigenem Webshop für 200 Euro.
Peripherie-Konkurrent Razer hat seine RealSense-Kamera namens StarGazer bereits zu Jahresbeginn auf der CES enthüllt, doch anschließend folgten etliche Monate Funkstille. Ab dem Spätsommer konnte man sie für 170 Euro vorbestellen. Die Auslieferung in Deutschland soll Ende Oktober starten – zu spät für diesen Artikel.
Für Creative und Razer ist Windows Hello übrigens nur ein netter Nebeneffekt. Die RealSense-Kameras sollen vor allem Let’s-Play-Spieler und YouTube-Stars locken, damit die sich dank der 3D-Informationen ohne Hintergrund in den Livestream ihres Spiels einblenden können – ganz ohne Greenscreen. Die im RealSense-Modul enthaltene 2D-Kamera für das eigentliche Videobild liefert Full HD mit 30 Bildern pro Sekunde. Zum Vergleich: 2D-High-End-Webcams mit Full-HD-Auflösung wie Logitechs C930e kosten um die 100 Euro; günstige 720p-Modelle nicht einmal die Hälfte.
Der hohe Komponentenpreis für die RealSense-Kamera ist nur einer der Gründe, warum man sie nur in wenigen Notebooks vorfindet. Schwerer wiegt, dass das Kamera-Modul dicker ist als bei reinen 2D-Webcams und daher nicht in flache Notebook-Deckel passt. Intel hat dieses Problem immerhin erkannt: Die künftige RealSense 400 soll vor allem dünner werden.
Schließlich unterstützt der ebenfalls mit IR-Sensoren und -Kameras arbeitende Augen-Tracker EyeX von Tobii mit der neuesten Software-Version Windows Hello. Er steckt fest eingebaut in einigen klobigen Gaming-Notebooks, kann aber auch als Sensorleiste für beliebige Rechner nachgekauft werden. SteelSeries verkauft eine Variante namens Sentry Eye Tracker ab 170 Euro. Tobii selbst vertreibt die Referenz-Sensorleiste über seiner Webseite für rund 150 Euro (119 Euro plus 25 Prozent schwedische Mehrwertsteuer) und legt wahlweise Deus Ex: Mankind Divided oder Master of Orion bei.
Beide Spiele gehören zu den wenigen Blockbuster-Titeln, in denen man EyeX überhaupt nutzen kann. Anders als die RealSense-Kameras arbeiten die EyeX-Sensoren ausschließlich als Augen-Tracker. Wer eine klassische Webcam für Videotelefonate oder YouTube-Erklär-Videos benötigt, muss diese zusätzlich anschaffen.
Fingerabdruckleser
Alternativ zu den Kameras funktioniert Windows Hello auch mit Fingerabdrucklesern. Das Einloggen per Fingerabdruck ist an sich nicht neu, erfolgte bei früheren Windows-Versionen aber mittels Zusatz-Software – deren Pflege und Administration fällt mit Hello weg. Zudem reicht für die Fingerabdruckleser grundsätzlich ein USB-2.0-Port aus, während alle Kameras USB 3.0 voraussetzen.
Leider fällt der Blick auf den Peripherie-Markt hinsichtlich Fingerabdrucklesern noch ernüchternder aus als bei den Kameras: Neue Lesegeräte wurden seit Jahren nicht mehr angekündigt; die Produktion vieler Geräte wurde sogar schon eingestellt. Einige Systemhäuser wie Cryptas oder Gelikom haben sich darauf spezialisiert, Restposten aufzukaufen. Beide tun dies primär, um ihre Geschäftskunden zu versorgen. Über den Amazon Marketplace vertreiben beide aber auch ausgewählte Fingerabdruckleser an Privatpersonen.
Die schlechte Versorgungslage hat die Preise für Fingerabdruckleser stark ansteigen lassen. Der kaum mehr als einen Daumennagel große Eikon Mini ist beispielsweise prädestiniert zum Nachrüsten von Notebooks, doch statt den rund 10 Euro, die er beim Verkaufsstart anno 2012 gekostet hat, wird mittlerweile je nach Händler und momentaner Verfügbarkeit das Fünf- bis Fünfzehnfache aufgerufen. Für physisch größere Leser mit USB-Kabel wie den Eikon II oder den Sense X-S werden mindestens 40 Euro fällig.
Alle drei genannten haben Streifensensoren, über die die Finger gezogen werden müssen. Lesegeräte mit Flächensensoren, die komfortabler sind, weil man den Finger bloß auflegen braucht, sind viel teurer: Der Eikon Touch 700 kostet als einer der günstigsten rund 150 Euro, der Sense MC mit zusätzlichem Smartcard-Schacht noch mehr.
Dass diese alten Fingerabdruckleser, die weit vor Windows 10 erschienen sind, überhaupt mit Hello zusammenarbeiten, liegt an dessen technischer Grundlage: Hello setzt auf dem Windows Biometric Framework (WBF) auf, welches bereits mit Windows 7 eingeführt wurde. Die Hello-kompatiblen WBF-Treiber werden üblicherweise gleich nach dem ersten Anstecken per Windows Update eingespielt. Windows Update ist überhaupt ein wichtiger Helfer: Da es etliche Firmen mittlerweile nicht mehr gibt, darf man neue Treiber oder den Download von Hersteller-Webseiten nicht mehr erwarten.
Der ehemalige Branchenprimus Upek wurde etwa von Authentec gekauft, kurz bevor Authentec von Apple übernommen wurde. Apple hatte aber nur Interesse an Patenten und Software – wohl für das, was heutzutage als Touch ID bekannt ist – und stieß den Hardware-Teil von Authentec wieder ab. Zugeschlagen hat Digital Persona, welche dann von CrossMatch übernommen wurde – all das innerhalb der letzten fünf Jahre. Diese Firmen-Rochaden erklären auch, warum man Eikon-Geräte unter einer Vielzahl von Herstellern gelistet findet: Eikon war ursprünglich eine Marke von Upek.
Auf Herstelleraussagen ist hinsichtlich WBF-Kompatibilität übrigens kein Verlass: Wir haben den teuren Flächensensor FS88H ausprobiert, dessen Hersteller Futronic auf seiner Webseite WBF-Treiber verspricht. Tatsächlich bekommt man diese aber weder automatisch per Windows Update noch per Download von der Webseite. Für Windows Hello taugt der FS88H damit nicht.
Andere Geräte bekommt man nur mit Tricks zum Laufen. Der bei Redaktionsschluss günstigste Fingerabdruckleser war der KKmoon Biometric Fingerprint Reader, den wir für rund 15 Euro im Amazon Marketplace gekauft haben – wobei es augenscheinlich baugleiche Geräte auch unter anderen Namen gibt. Auf der Packung selbst oder im Handbuch findet man jedenfalls weder einen eindeutigen Gerätenamen („Model: X“) noch einen Hersteller.
Der KKmoon-Streifensensor meldet sich unter Windows nach dem Anstöpseln als EgisTec ES603. WBF-Treiber gibt es weder auf der beiliegenden CD noch per Windows Update – und mangels Download-Bereich auch nicht von der EgisTec-Webseite. Die Lösung: Weil derselbe Sensor in einige Acer-Notebooks wie dem TravelMate P466-M steckt, findet man einen passenden Treiber auf Acers Support-Webseite. Dort läuft der Fingerabdruckleser aber nicht unter dem Firmennamen EgisTec, sondern unter STMicro.
In unseren Tests erkannte der KKmoon-Leser den angelernten Finger nicht so zuverlässig wie die Eikon-Modelle. Nerviger ist jedoch, dass man ihn während der Benutzung mit der zweiten Hand festhalten oder ihn irgendwo festkleben muss: Das geringe Eigengewicht von 9 Gramm Gewicht reicht nicht aus, um das glatte Plastikgehäuse an Ort und Stelle zu halten. Die Eikon- und Sense-Geräte sind viel schwerer und bleiben dank Gummi-Unterseite beim Drüberstreichen von allein an Ort und Stelle.
Kombi-Peripherie
Fingerabdruckleser gibt es nicht nur als eigenständige Geräte. So haben etwa große PC-Hersteller wie Lenovo PC-Tastaturen mit integrierten Fingerabdrucklesern im Portfolio – diese sind jedoch für Firmenprojekte gedacht. Als Endkundenprodukte werden sie nicht verkauft und hochwertige Tastaturen mit mechanischen Schaltern befinden sich generell nicht darunter.
Cherry listet auf seiner Webseite neben Tastaturen auch Mäuse mit eingebauten Fingerabdrucklesern, verkauft diese aber nicht unter eigenem Namen. Cryptas vertreibt beispielsweise die Cherry-Maus M-4230 samt Flächensensor in der Variante M-4233, ein OEM-Produkt für den Zahlungsdienstleister Atos Worldline. Sie arbeitet problemlos mit Windows Hello zusammen, kostet aber 155 Euro – ein stolzer Preis für eine Maus, die abseits vom Fingerabdruckleser ein gewöhnlicher Zwei-Tasten-Büronager ist.
Kurz vor Redaktionsschluss hat Tt eSports die Gaming-Maus Black FP angekündigt, die daumenseitig einen Fingerabdruckleser von Synaptics speziell für Windows Hello enthalten wird. Sie soll Omron-Taster, wechselbare Gewichte und rot beleuchtete Tasten bieten und in den USA rund 60 US-Dollar kosten. Zur hiesigen Verfügbarkeit hat die Thermaltake-Tochter noch keine Angaben gemacht. Apropos Ankündigungen: Das Windows-Hello-Zubehör des japanischen PC-Herstellers Mouse Computer – eine Kamera und ein Fingerabdruckleser – hat zwar auf der Computex hohe Wellen geschlagen, aber seitdem hat man nichts mehr davon gehört.
Die schlechte Situation rund um die externen Fingerabdruckleser für PCs dürfte sich auf absehbare Zeit kaum verbessern. Dies liegt laut Cryptas und Gelikom daran, dass die verbliebenen Hersteller solcher Sensoren sich entweder auf Regierungsprojekte oder auf mobile Anwendungen fokussieren – in jedem besseren Smartphone und Tablet steckt mittlerweile ein Fingerabdruckleser. Beide Geschäftsmodelle versprechen hohe Stückzahlen, ohne dass der Sensorhersteller den wohl als nervig erachteten Endkunden-Support leisten müsste.
Und Microsoft?
Was Microsoft hinsichtlich Windows Hello plant, ist unklar. Obwohl das Unternehmen eine Hardware-Abteilung hat, die Tastaturen, Mäuse und andere Peripherie fertigt, scheint es dort niemand für nötig zu halten, eigene passende Zusatzgeräte zum Nachrüsten anzubieten – etwa die hauseigene Hello-Kamera, die im Notebook Surface Book und im Windows-Tablet Surface Pro 4 steckt.
Dieser Umstand beißt sich mit Microsofts öffentlichen Beteuerungen, dass man mit Windows Hello noch viel vor habe. Seit dem Anniversary Update von Windows 10 (Version 1607) ist Microsoft unter anderem der FIDO-Allianz (Fast Identity Online) beigetreten, die ein Web-API zur biometrischen Authentifizierung bei Transaktionen spezifiziert. Auch wurde Windows Hello dahingehend erweitert, dass man Fitness-Tracker, Smartphones oder Smartcards statt Biometrie zur Authentifizierung verwenden kann.
Allein: Das Microsoft-Wearable Band 2 wird wohl nachfolgerlos eingestellt, Smartphones mit Windows 10 Mobile haben relevante Stückzahlen nie erreicht. Uns ist bislang kein Wearable oder Smartphone eines anderen Herstellers bekannt, welches das für Windows Hello vorgesehene Companion Device Framework unterstützen würde.
Der Komfort, den Windows Hello verspricht und mit entsprechender Hardware auch liefert, bleibt damit wohl auch längerfristig nur Käufern neuer Premium-Notebooks und wenigen bastelfreudigen PC-Nutzern vorbehalten – günstig ist keine der beiden Optionen. Im Unternehmensumfeld mag die Situation etwas anders aussehen, haben sich Authentifizierungsstrukturen samt Smartcard- und Fingerabdruck-Absicherungen dort doch sowieso schon etabliert. (mue@ct.de)