為什麼 PIN 更勝於密碼

  • 發行項

Windows 10 中的 Microsoft Passport 可讓使用者使用 PIN 登入他們的裝置。PIN 如何不同於 (且更勝於) 密碼?

表面上,PIN 看起來很像密碼。PIN 可以是一組數字,但企業原則可能會允許包含特殊字元以及字母 (大寫與小寫) 等更複雜的 PIN。例如 t758A! 可以是帳戶密碼或複雜的 Passport PIN。PIN 的結構 (長度、複雜度) 並不是它更勝於密碼的原因,而是它的運作方式。

PIN 會繫結到裝置

密碼與 Passport PIN 之間一個最重要的差異就是 PIN 會繫結到它所設定的特定裝置。沒有該特定的裝置,該 PIN 對任何人而言都是沒有用的。 竊取您密碼的任何人可以從任何位置登入您的帳戶,但是如果他們竊取的是您的 PIN,他們也必須竊取您的實體裝置!

即使是您也無法在該特定裝置以外的任何位置使用該 PIN。如果您想要在多個裝置上登入,您必須在每個裝置上設定 Passport。

PIN 侷限在裝置

密碼會傳送到伺服器 -- 它可以在傳輸過程中攔截或從伺服器竊取。 PIN 會侷限在裝置 -- 它不會傳輸到任何地方,也沒有儲存在伺服器上。

建立 PIN 時,它會與身分識別提供者建立受信任的關係,並建立一個用來驗證的非對稱金鑰組。當您輸入 PIN 時,它會解除鎖定驗證金鑰,並使用該金鑰簽署傳送到驗證伺服器的要求。

注意  

如需 Passport 如何使用非對稱金鑰組進行驗證的詳細資訊,請參閱 Microsoft Passport 指南

 

PIN 由硬體支援

Passport PIN 是由信賴平台模組 (TPM) 晶片支援,這是一個專門設寄來執行密碼編譯作業的安全密碼編譯處理器。此晶片包含多個實體安全性機制,使它具備防竄改功能,在 TPM 安全性功能的加持下,惡意程式碼軟體便無法進行竄改。所有的 Windows 10 行動電話和許多現代的膝上型電腦都有 TPM.

使用者金鑰資料是在使用者裝置的信賴平台模組 (TPM) 內產生和提供,可防止攻擊者擷取金鑰資料並重複使用。因為 Microsoft Passport 使用非對稱式金鑰組,除非是身分識別提供者或使用者存取的網站被滲透,否則無法竊取使用者認證。

TPM 會提供保護來抵禦各種已知和可能的攻擊,包括 PIN 暴力密碼破解攻擊。太多次不正確的猜測之後,裝置會鎖定。

PIN 可以很複雜

和密碼一樣,Passport PIN 受限於一組相同的 IT 管理原則,例如複雜度、長度、到期時間以及歷程記錄。雖然我們通常認為 PIN 是簡單的 4 位數程式碼,但是系統管理員可以設定受管理裝置的原則來要求與密碼類似的 PIN 複雜度。您可以要求或封鎖:特殊字元、大寫字元、小寫字元及數字。

如果有人竊取膝上型電腦或手機?

要滲透 TPM 保護的 Microsoft Passport 認證,攻擊者必須有實體裝置的存取權,而且必須設法取得使用者的生物特徵或猜測使用者的 PIN—而這一切必須在 TPM 反鎚功能鎖定裝置之前完成。這樣可以設定列量值的順序高於密碼網路釣魚攻擊。

您可以透過啟用 BitLocker 並設定原則來限制失敗的登入,針對沒有 TPM 的膝上型電腦提供額外的保護。

Mt621546.wedge(zh-tw,VS.85).gif在不含 TPM 的情形下設定 BitLocker

  1. 使用本機群組原則編輯器 (gpedit.msc) 來啟用下列原則:

    [電腦設定] > [系統管理範本]**** > [Windows 元件] > [BitLocker 磁碟機加密]**** > [作業系統磁碟機] > [啟動時需要其他驗證]****

  2. 在 [原則] 選項中,選取 [在不含相容 TPM 的情形下允許使用 BitLocker],然後按一下 [確定]****。

  3. 移至 [控制台] > [系統及安全性] > [BitLocker 磁碟機加密]**** 並選取要保護的作業系統磁碟機。

Mt621546.wedge(zh-tw,VS.85).gif設定帳戶鎖定閥值

  1. 使用本機群組原則編輯器 (gpedit.msc) 來啟用下列原則:

    [電腦設定] > [Windows 設定]**** > [安全性設定] > [帳戶原則]**** > [帳戶鎖定原則] > [帳戶鎖定閾值]****

  2. 設定允許的不正確的登入嘗試數目,然後按一下 [確定]。

為什麼需要 PIN 才能使用 Windows Hello?

Windows Hello 是 Windows 10 中 Microsoft Passport 的生物識別登入:指紋、虹膜或臉部辨識。當您設定 Windows Hello 時,系統會要求您先建立 PIN。當您因為受傷而無法使用慣用的生物識別,或是感應器無法使用時,這個 PIN 可讓您使用 Passport 登入。

如果您只設定生物識別登入,且因為任何原因無法使用該方法登入,您必須使用您的帳戶名稱和密碼登入,但是不會提供與 Passport 相同等級的保護。

相關主題

使用 Microsoft Passport 管理身分識別驗證

在組織中實作 Microsoft Passport