Table of contents
TOC
Recolher sumário
Expandir sumário

Por que um PIN é melhor que uma senha

Dani Halfin|Última Atualização: 14/03/2017
|
1 Colaborador

Aplica-se a

  • Windows 10
  • Windows 10 Mobile

O Windows Hello no Windows 10 permite que os usuários entrem em seus dispositivos usando um PIN. De que forma um PIN é diferente de (e é melhor do que) uma senha? À primeira vista, um PIN é muito parecido com uma senha. Um PIN pode ser um conjunto de números, mas a política corporativa pode permitir PINs complexos que incluam caracteres especiais e letras, maiúsculas e minúsculas. Algo como t758A! poderia ser uma senha de conta ou um PIN do Hello complexo. Não é a estrutura de um PIN (comprimento, complexidade) que o torna melhor do que uma senha; é como ele funciona.

O PIN está vinculado ao dispositivo

Uma diferença importante entre uma senha e um PIN do Hello é que o PIN está vinculado ao dispositivo específico no qual ele foi configurado. Esse PIN é inútil para qualquer pessoa sem esse hardware específico. Alguém que roube a senha pode fazer logon na conta em qualquer lugar, mas caso roube o PIN, precisa roubar o dispositivo físico também!

Nem você pode usar esse PIN em qualquer lugar, exceto nesse dispositivo específico. Caso queira entrar em vários dispositivos, precisa configurar o Hello em cada dispositivo.

O PIN é local para o dispositivo

Uma senha é transmitida para o servidor – ela pode ser interceptada na transmissão ou roubada em um servidor. Um PIN é local para o dispositivo – ele não é transmitido em qualquer lugar e não é armazenado no servidor. Quando o PIN é criado, ele estabelece uma relação de confiança com o provedor de identidade e cria um par de chaves assimétricas usado na autenticação. Quando você insere o PIN, ele desbloqueia a chave de autenticação e usa a chave para assinar a solicitação enviada ao servidor de autenticação.

Observação

Para obter detalhes sobre como o Hello usa pares de chaves assimétricas para autenticação, confira Windows Hello para Empresas.

O PIN tem suporte de hardware

O PIN do Hello tem o suporte de um chip TPM (Trusted Platform Module), que é um processador protegido por criptografia projetado para realizar operações criptográficas. O chip inclui vários mecanismos de segurança física para torná-lo resistente a adulterações nas funções de segurança do TPM por software mal-intencionado. Todos os telefones com o Windows 10 Mobile e muitos laptops modernos têm TPM.

O material da chave de usuário é gerado e estará disponível no TPM (Trusted Platform Module) do dispositivo do usuário, que protege contra invasores que desejam capturar o material da chave e reutilizá-lo. Como o Hello usa pares de chaves assimétricas, as credenciais dos usuários não podem ser roubadas nos casos em que o provedor de identidade ou os sites que o usuário acessa foram comprometidos.

O TPM protege contra diversos ataques conhecidos e possíveis, incluindo ataques de força bruta ao PIN. Depois de muitas adivinhações incorretas, o dispositivo é bloqueado.

O PIN pode ser complexo

O PIN do Windows Hello para Empresas está sujeito ao mesmo conjunto de políticas de gerenciamento de TI que uma senha, como complexidade, comprimento, expiração e histórico. Embora normalmente pensemos em um PIN como um código de quatro dígitos simples, os administradores podem definir políticas para dispositivos gerenciados para exigir uma complexidade de PIN semelhante à de uma senha. É possível exigir ou bloquear: caracteres especiais, caracteres maiúsculos, caracteres minúsculos e dígitos.

E se alguém roubar o notebook ou o telefone?

Para comprometer uma credencial do Windows Hello que o TPM protege, um invasor deve ter acesso ao dispositivo físico e, em seguida, deve encontrar uma maneira de falsificar a biometria do usuário ou adivinhar seu PIN. Tudo isso deve ser feito antes que os recursos anti-hammering do TPM bloqueiem o dispositivo. Você pode fornecer proteção adicional para laptops que não tenham o TPM habilitando o BitLocker e definindo uma política para limitar logons com falha.

Configurar BitLocker sem TPM

  1. Use o Editor de Política de Grupo Local (gpedit.msc) para habilitar a seguinte política:

    Configuração do Computador > Modelos Administrativos > Componentes do Windows > Criptografia de Unidade BitLocker > Unidades do Sistema Operacional > Exigir autenticação adicional na inicialização

  2. Na opção de política, selecione Permitir o BitLocker sem um TPM compatível e clique em OK.

  3. Vá até Painel de Controle > Sistema e Segurança > Criptografia de Unidade de Disco BitLocker e selecione a unidade do sistema operacional a ser protegida. Definir limite de bloqueio da conta
  4. Use o Editor de Política de Grupo Local (gpedit.msc) para habilitar a seguinte política:

    Configuração do Computador > Configurações do Windows ? Configurações de Segurança > Políticas de Conta > Política de Bloqueio de Conta > Limite de bloqueio de conta

  5. Defina o número de tentativas de logon inválidas a serem permitidas e clique em OK.

Por que você precisa de um PIN para usar biometria?

O Windows Hello permite a entrada biométrica no Windows 10: impressão digital, íris ou reconhecimento facial. Ao configurar o Windows Hello, você deverá primeiro criar um PIN. Esse PIN permite que você entre usando o PIN quando não conseguir usar a biometria preferida devido a um ferimento ou caso o sensor esteja indisponível ou com defeito.

Se você tivesse apenas uma entrada biométrica configurada e, por qualquer motivo, não conseguisse usar esse método para fazer logon, precisaria entrar usando sua conta e senha, que não oferecem o mesmo nível de proteção que o Hello.

Tópicos relacionados

© 2017 Microsoft