Por que um PIN é melhor que uma senha

  • Artigo

Microsoft Passport no Windows 10 permite que usuários façam logon no dispositivo usando um PIN. Em que um PIN difere de (e é melhor do que) uma senha?

À primeira vista, um PIN é muito parecido com uma senha. Um PIN pode ser um conjunto de números, mas a política corporativa pode permitir PINs complexos que incluam caracteres especiais e letras, maiúsculas e minúsculas. Algo como t758A! poderia ser uma senha de conta ou um PIN do Passport complexo. Não é a estrutura de um PIN (comprimento, complexidade) que o torna melhor do que uma senha; é como ele funciona.

PIN está vinculado ao dispositivo

Uma diferença importante entre uma senha e um PIN do Passport é que o PIN está vinculado ao dispositivo específico no qual ele foi configurado. Esse PIN é inútil para qualquer pessoa sem esse hardware específico. Alguém que roube a senha pode fazer logon na conta em qualquer lugar, mas caso roube o PIN, precisa roubar o dispositivo físico também!

Até mesmo você não pode usar esse PIN em qualquer lugar, exceto nesse dispositivo específico. Caso queira fazer logon em vários dispositivos, você precisa configurar o Passport em cada dispositivo.

PIN é local para o dispositivo

Uma senha é transmitida para o servidor – ela pode ser interceptada na transmissão ou roubada em um servidor. Um PIN é local para o dispositivo – ele não é transmitido em qualquer lugar e não é armazenado no servidor.

Quando o PIN é criado, ele estabelece uma relação de confiança com o provedor de identidade e cria um par de chaves assimétricas usado na autenticação. Quando você insere o PIN, ele desbloqueia a chave de autenticação e usa a chave para assinar a solicitação enviada para o servidor de autenticação.

Observação  

Para obter detalhes sobre como o Passport usa pares de chaves assimétricas na autenticação, consulte Guia do Microsoft Passport.

 

PIN tem apoio do hardware

O PIN do Passport tem apoio de um chip Trusted Platform Module (TPM), que é um processador protegido por criptografia projetado para realizar operações criptográficas. O chip inclui vários mecanismos de segurança física para torná-lo resistente a adulterações nas funções de segurança do TPM por software mal-intencionado. Todos os telefones com o Windows 10 Mobile e muitos laptops modernos têm TPM.

O material de chaves de usuário é gerado e estará disponível no TPM (Trusted Platform Module) do dispositivo do usuário, que protege contra invasores que desejam capturar o material da chave e reutilizá-lo. Como o Microsoft Passport usa pares de chaves assimétricas, as credenciais dos usuários não podem ser roubadas em casos em que o provedor de identidade ou os sites que o usuário acessa sejam comprometidos.

O TPM protege contra diversos ataques conhecidos e possíveis, incluindo ataques de força bruta ao PIN. Depois de muitas adivinhações incorretas, o dispositivo é bloqueado.

PIN pode ser complexo

O PIN do Passport está sujeito ao mesmo conjunto de políticas de gerenciamento de TI de uma senha, como complexidade, comprimento, expiração e histórico. Embora normalmente pensemos em um PIN como um código de quatro dígitos simples, os administradores podem definir políticas para dispositivos gerenciados para exigir uma complexidade de PIN semelhante à de uma senha. É possível exigir ou bloquear: caracteres especiais, caracteres maiúsculos, caracteres minúsculos e dígitos.

E se alguém roubar o laptop ou o telefone?

Para comprometer uma credencial do Microsoft Passport que o TPM protege, um invasor deve ter acesso ao dispositivo físico e, em seguida, deve encontrar uma maneira de falsificar a biometria do usuário ou adivinhar seu PIN. Tudo isso deve ser feito antes que os recursos anti-hammering do TPM bloqueiem o dispositivo. Isso define os limites em um nível mais alto que os ataques de phishing de senha.

Você pode fornecer proteção adicional para laptops que não tenham o TPM habilitando o BitLocker e definindo uma política para limitar logons com falha.

Mt621546.wedge(pt-br,VS.85).gifConfigurar BitLocker sem TPM

  1. Use o Editor de Política de Grupo Local (gpedit.msc) para habilitar a seguinte política:

    Configuração do Computador > Modelos Administrativos > Componentes do Windows > Criptografia de Unidade BitLocker > Unidades do Sistema Operacional > Exigir autenticação adicional na inicialização

  2. Na opção de política, selecione Permitir o BitLocker sem um TPM compatível e clique em OK.

  3. Vá até Painel de Controle > Sistema e Segurança > Criptografia de Unidade de Disco BitLocker e selecione a unidade do sistema operacional a ser protegida.

Mt621546.wedge(pt-br,VS.85).gifDefinir limite de bloqueio da conta

  1. Use o Editor de Política de Grupo Local (gpedit.msc) para habilitar a seguinte política:

    Configuração do Computador >Configurações do Windows ?Configurações de Segurança >Políticas de Conta > Política de bloqueio de conta > Limite de bloqueio de conta

  2. Defina o número de tentativas de logon inválidas a serem permitidas e clique em OK.

Por que você precisa de um PIN para usar o Windows Hello?

Windows Hello é o logon biométrico do Microsoft Passport no Windows 10: impressão digital, íris ou reconhecimento facial. Ao configurar o Windows Hello, você deve criar um PIN inicialmente. Esse PIN permite que você faça logon usando o Passport quando você não conseguir usar a biometria preferida por causa de um ferimento ou porque o sensor está indisponível ou não está funcionando corretamente.

Se tivesse apenas um logon biométrico configurado e, por qualquer motivo, não conseguisse usar esse método para fazer logon, você precisaria fazer logon usando o nome de conta e senha, que não oferecem o mesmo nível de proteção como Passport.

Tópicos relacionados

Gerenciar a verificação de identidade usando o Microsoft Passport

Implementar o Microsoft Passport em sua organização