Почему ПИН-код лучше, чем пароль в интернете
Windows Hello позволяет пользователям входить на устройство с помощью ПИН-кода. Чем ПИН-код отличается от (и лучше) локального пароля? На первый взгляд, ПИН-код во многом аналогичен паролю. ПИН-код может быть набором чисел, но политика предприятия может применять сложные ПИН-коды, включающие специальные символы и буквы в верхнем и нижнем регистрах. Что-то вроде t758A! может быть паролем учетной записи или сложным ПИН-кодом Hello. Это не структура ПИН-кода (длина, сложность), которая делает его лучше, чем сетевой пароль, а именно как он работает. Во-первых, необходимо различать два типа паролей: локальные пароли проверяются по хранилищу паролей компьютера, а сетевые пароли проверяются на сервере. В этой статье рассматриваются преимущества ПИН-кода по сравнению с сетевым паролем, а также то, почему его можно считать даже лучше, чем локальный пароль.
Посмотрите, как Дана Хуанг объясняет, почему ПИН-код Windows Hello для бизнеса безопаснее, чем пароль в Интернете.
ПИН-код привязан к устройству
Важное различие между сетевым паролем и ПИН-кодом Hello заключается в том, что ПИН-код привязан к конкретному устройству, на котором он был настроен. ПИН-код не может использоваться без конкретного оборудования. Кто-то, кто получит ваш пароль в Интернете, может войти в вашу учетную запись из любого места, но если он получит ваш ПИН-код, ей также придется получить доступ к вашему устройству.
ПИН-код нельзя использовать где-либо, кроме как на этом конкретном устройстве. Чтобы выполнять вход на нескольких устройствах, потребуется настроить Hello на каждом из них.
ПИН-код хранится на устройстве локально
На сервер передается сетевой пароль. Пароль может быть перехвачен при передаче или получен с сервера. ПИН-код является локальным для устройства, никогда нигде не передается и не хранится на сервере. При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе ПИН-кода вы разблокируете ключ проверки подлинности, который используется для подписи запроса, отправляемого на сервер проверки подлинности. Несмотря на то, что локальные пароли являются локальными для устройства, они менее безопасны, чем ПИН-код, как описано в следующем разделе.
Примечание.
Дополнительные сведения о том, как Hello использует асимметричные пары ключей для проверки подлинности, см. в разделе Windows Hello для бизнеса.
ПИН-код поддерживается оборудованием
ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. Windows не связывает локальные пароли с TPM, поэтому ПИН-коды считаются более безопасными, чем локальные пароли.
Материал ключа пользователя создается и доступен в TPM устройства. TPM защищает материал ключа от злоумышленников, которые хотят захватить и повторно использовать его. Так как Hello использует асимметричные пары ключей, учетные данные пользователей не могут быть украдены в случаях, когда поставщик удостоверений или веб-сайты, к которому обращается пользователь, были скомпрометированы.
TPM защищает от различных известных и потенциальных атак, включая атаки методом подбора ПИН-кода. После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется.
ПИН-код может быть сложным
К ПИН-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и журнал изменений. Несмотря на уверенность большинства пользователей в том, что ПИН-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики , предполагающие уровень сложности ПИН-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.
Что делать, если кто-то украдет устройство?
Чтобы скомпрометировать учетные данные Windows Hello, которые защищает доверенный платформенный модуль, злоумышленник должен иметь доступ к физическому устройству. Затем злоумышленник должен найти способ подделать биометрические данные пользователя или угадать ПИН-код. Все эти действия необходимо выполнить до того, как защита TPM блокирует устройство. Вы можете обеспечить дополнительную защиту для ноутбуков, на которых нет доверенного платформенного модуля, включив BitLocker и задав политику ограничения неудачных входов.
Настройка BitLocker без TPM
Чтобы включить BitLocker без доверенного платформенного платформенного модуля, выполните следующие действия.
- Откройте редактор локальной групповая политика (gpedit.msc) и включите политику: Конфигурация компьютера > Административные шаблоны > Компоненты > Windows BitLocker Шифрование дисков > Операционной системы Диски > Требуется дополнительная проверка подлинности при запуске.
- В параметре политики выберите Разрешить BitLocker без совместимого TPM > ОК.
- На устройстве откройте панель управления > система и безопасность > шифрования диска BitLocker.
- Выберите диск операционной системы для защиты
Установка порога блокировки учетной записи
Чтобы настроить порог блокировки учетной записи, выполните следующие действия.
- Откройте редактор локальной групповая политика (gpedit.msc) и включите политику Конфигурация компьютера > Параметры Windows Параметры > безопасности Политики > учетной > записи Политика блокировки учетной записи Политика блокировки учетной записи пороговое значение блокировки учетной > записи
- Задайте количество недопустимых попыток входа и нажмите кнопку ОК.
Почему для использования биометрии нужен ПИН-код?
Windows Hello включает биометрический вход в Windows: отпечатки пальцев, радужной оболочки оболочки или распознавание лиц. При первоначальной настройке Windows Hello предлагается создать ПИН-код. Этот ПИН-код позволяет выполнить вход с помощью ПИН-кода, если вы не можете использовать предпочтительную биометрию из-за травмы или из-за недоступности датчика или неправильной работы.
Если вы только настроили биометрический вход и по какой-либо причине не смогли использовать этот метод для входа, вам придется выполнить вход с помощью учетной записи и пароля, что не обеспечивает такой же уровень защиты, как Hello.