Почему ПИН-код лучше пароля
Microsoft Passport в ОС Windows 10 позволяет пользователям выполнять вход на устройстве с использованием ПИН-кода. В чем заключаются отличия ПИН-кода от пароля и его преимущества?
На первый взгляд, ПИН-код во многом аналогичен паролю. ПИН-код может представлять собой набор цифр, однако политикой предприятия может быть разрешено использование сложных ПИН-кодов, содержащих специальные знаки и буквы как в верхнем, так и в нижнем регистре. Например, значение t758A! может использоваться в качестве пароля учетной записи или сложного ПИН-кода в Passport. Преимущества ПИН-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.
ПИН-код привязан к устройству
Важным различием между паролем и ПИН-кодом Passport является привязка ПИН-кода к конкретному устройству, на котором он был задан. ПИН-код не может использоваться без конкретного оборудования. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи ПИН-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.
Даже сам пользователь сможет выполнить вход с помощью ПИН-кода только на конкретном устройстве. Чтобы выполнять вход на нескольких устройствах, потребуется установить Microsoft Passport на каждом из них.
ПИН-код хранится на устройстве локально
Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. ПИН-код задается на устройстве на локальном уровне, не передается и не хранится на сервере.
При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе ПИН-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.
Примечание
Дополнительные сведения об использовании пар ассиметричных ключей для проверки подлинности см. в разделе Руководство по Microsoft Passport.
ПИН-код поддерживается оборудованием
ПИН-код паспорта поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.
Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Microsoft Passport подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.
TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода. После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется.
ПИН-код может быть сложным
К ПИН-коду Passport применяется тот же набор политик управления ИТ, что и к паролю, в т.ч. сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что ПИН-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики, предполагающие уровень сложности ПИН-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.
Что произойдет в случае кражи ноутбука или телефона?
Для нарушения безопасности учетных данных Microsoft Passport, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать ПИН-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Это ставит перед злоумышленниками задачу на несколько порядков сложнее, нежели обычные фишинговые атаки с целью получения пароля.
Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.
.gif "Mt621546.wedge(ru-ru,VS.85).gif")
Настройка BitLocker без TPM
С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы > Требовать дополнительной проверки подлинности при запуске
В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.
Перейдите в меню по пути Панель управления > Система и безопасность > Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.
Установка порога блокировки учетной записи
С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:
Конфигурация компьютера >Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетных записей > Порог блокировки учетной записи
Установите допустимое количество неудачных попыток входа в систему и нажмите кнопку «ОК».
Почему для использования Windows Hello нужен ПИН-код?
Windows Hello — это новая биометрическая технология входа для Microsoft Passport в Windows 10, использующая проверку подлинности по отпечаткам пальцев, радужной оболочке глаза или изображению лица. При первоначальной настройке Windows Hello предлагается создать ПИН-код. Этот ПИН-код позволяет выполнять вход с использованием Passport, если вы не можете сделать это с помощью биометрических данных, например из-за травмы, а также из-за отсутствия или неисправности датчика.
Если вы настроите только биометрические данные для входа в систему и не сможете по какой-либо причине выполнить вход с их использованием, вы должны будете ввести имя и пароль от учетной записи, что менее безопасно, чем вход с помощью Passport.