Почему пин-код лучше пароля
Microsoft Passport в ОС Windows 10 позволяет пользователям выполнять вход на устройстве с использованием ПИН-кода. В чем заключаются отличия ПИН-кода от пароля и его преимущества?
На первый взгляд, ПИН-код во многом аналогичен паролю. ПИН-код может представлять собой набор цифр, однако политикой предприятия может быть разрешено использование сложных ПИН-кодов, содержащих специальные знаки и буквы как в верхнем, так и в нижнем регистре. Например, значение t758A! может использоваться в качестве пароля учетной записи или сложного ПИН-кода в Passport. Преимущества ПИН-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.
ПИН-код привязан к устройству
Важным различием между паролем и ПИН-кодом Passport является привязка ПИН-кода к конкретному устройству, на котором он был задан. ПИН-код не может использоваться без конкретного оборудования. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи ПИН-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.
Даже сам пользователь сможет выполнить вход с помощью ПИН-кода только на конкретном устройстве. Чтобы выполнять вход на нескольких устройствах, потребуется установить Microsoft Passport на каждом из них.
ПИН-код хранится на устройстве локально
Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. ПИН-код задается на устройстве на локальном уровне, не передается и не хранится на сервере.
При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе ПИН-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.
Примечание
Дополнительные сведения об использовании пар ассиметричных ключей для проверки подлинности см. в разделе Руководство по Microsoft Passport .
ПИН-код поддерживается оборудованием
ПИН-код паспорта поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. TPM применяется во всех телефонах с Windows 10 Mobile и во многих современных ноутбуках.
Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Microsoft Passport подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.
TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода. После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется.
ПИН-код может быть сложным
К ПИН-коду Passport применяется тот же набор политик управления ИТ, что и к паролю, в т.ч. сложность, длина, срок действия и история изменений. Несмотря на уверенность большинства пользователей в том, что ПИН-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики , предполагающие уровень сложности ПИН-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.
Что произойдет в случае кражи ноутбука или телефона?
Для нарушения безопасности учетных данных Microsoft Passport, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать ПИН-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Это ставит перед злоумышленниками задачу на несколько порядков сложнее, нежели обычные фишинговые атаки с целью получения пароля.
Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.
Настройка BitLocker без TPM
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы > Требовать дополнительной проверки подлинности при запуске
В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM , а затем нажмите кнопку ОК .
Перейдите в меню по пути Панель управления > Система и безопасность > Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.
Установка порога блокировки учетной записи
С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:
Конфигурация компьютера >Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетных записей > Порог блокировки учетной записи
Установите допустимое количество неудачных попыток входа в систему и нажмите кнопку «ОК».
Почему для использования Windows Hello нужен ПИН-код?
Windows Hello - это новая биометрическая технология входа для Microsoft Passport в Windows 10, использующая проверку подлинности по отпечаткам пальцев, радужной оболочке глаза или изображению лица. При первоначальной настройке Windows Hello предлагается создать ПИН-код. Этот ПИН-код позволяет выполнять вход с использованием Passport, если вы не можете сделать это с помощью биометрических данных, например из-за травмы, а также из-за отсутствия или неисправности датчика.
Если вы настроите только биометрические данные для входа в систему и не сможете по какой-либо причине выполнить вход с их использованием, вы должны будете ввести имя и пароль от учетной записи, что менее безопасно, чем вход с помощью Passport.
Для большинства телефон или планшет уже не просто девайс для выхода в Интернет или способ связаться с кем то, но и устройство хранящее вашу личную информацию: фото, видео, информацию по банковским картам, контакты, пароли в соц сети и т.д. И каждый из нас задумывался, как защитить эти данные, одним из самых простых способов является установка пароля на телефон или планшет . Защита паролем - это компромиссный вариант между удобством и безопасностью, вы сами выбираете тип пароля и регламентируете его сложность. В этой статье я подробно покажу какие виды паролей существуют для ОС Андроид и как их установить.
В Андроид существует несколько видов паролей:
1) Пароль;
4) Распознавание лица.
Что бы выбрать один из способов, откройте меню "Настройка".
Выберите "Экран блокировки", на некоторых моделей устройств необходимо зайти в "Безопасность".
Предлагаю разобрать каждый из способов, а начать с наиболее безопасных.
Установить пароль на Андроид.
Данный способ наилучшим способом обеспечивает безопасность к доступу информации на смартфоне/ планшете, поскольку можно придумать очень сложный пароль, взломать/ подобрать который будет невероятно трудно.
Выбираем "Пароль".
Придумайте и введите пароль, используя цифры, буквы (заглавные, прописные) и спец. знаки.
Минимальный пароль должен содержать минимум 4 символа, максимально 17. В пароле вас мало, что ограничивает и довольно легко можно придумать действительно сложный пароль. Единственное, что необходимо учесть:
а) Не забудьте указанный пароль;
б) Учтите, что его необходимо вводить каждый раз при разблокировании устройства и вводить 17 символов довольно долго.
Установка пин-кода на смартфон/ планшет.
Еще один способ обезопасить мобильное устройство использовать пин-код. Менее безопасен этот способ, поскольку предусматривает использование только цифр в пароле.
В списке способов выберите "PIN- код".
Установка графического ключа.
Еще один способ обезопасить свой гаджет, является установка графического ключа. Этот способ довольно удобно использовать, поскольку в качестве пароля необходимо выбрать узор. Его минус, что при стандартных 9 точках этот способ предусматривает 389122 комбинаций, что на сегодняшний день не так уж и много.
Выберите "Графический ключ".
Минимально необходимо соединить 4 точки.
Повторите ввод.
Распознавание лица в качестве разблокировки телефона/ планшета.
Данный способ, казалось бы, будет эталоном и взломать его практически не возможно, поскольку все лица как и отпечатки уникальны. Но обойти подобную разблокировку довольно просто, для этого необходимо иметь фото владельца мобильного устройства, а сегодня практическую любое фото можно достать из соц сетей, Instagram и других сервисов. Существуют вариации с использованием лица и голоса, но подобная комбинация так же не намного усложняет процесс взлома. Плюс нужно не забывать, что вы можете оказаться в темном помещении или в месте, где крайне неудобно будет подносить гаджет к лицу.
Функция Smart Lock в Android.
Начиная с 5 версии Андроид в ней появилась функция Smart Lock, которая может облегчить доступ к устройству. Что представляет собой Smart Lock? Вы указываете условия, при которых пароль, пин-код или графический код не будет блокировать ваш телефон/ планшет. Какие условия можно использовать:
1) Надежные устройства. Ими могут выступать часы Bluetooth, громкая связь Bluetooth в автомобиле или NFC метка в автомобиле. Например, если часы рядом с вами, то разблокировка телефона/ планшета не требуется.
2) Вы можете указать географическое место, где ввод пароля не требуется, например дом, место работы и т.д.
4) Физический контакт. Мобильное устройство будет разблокировано пока остается в контакте с вами (в руках, кармане, сумке).
Естественно, что бы использовать те или иные условия необходим задействовать соответствующие датчики (GSM, сделать фото, подключить Bluetooth часы и т.д.).
Нужно признать, что подобная функция будет крайне удобна, если вы активно пользуетесь телефоном или планшетом. Но учтите, что каждое из условий оставляют маленькую лазейку для злоумышленников.
Защита данных – это важный момент для любого пользователя, особенно если это касается учетной записи. Разумеется, с каждой последующей авторизацией, ввод пароля слегка поднадоест. Но пренебрегать защитой не стоит. Специально для юзеров, которые устали от данной процедуры, компания Microsoft ввела новую опцию, которая позволяет установить защиту через ПИН-код.
Поклонники операционных систем от компании Windows оценили «десятку» за инновационные функции безопасности. Собственно, опция ПИН-кода стала одним из новшеств последней версии ОС.
Сегодня мы расскажем, как поставить ПИН-код в Windows 10 при авторизации.
Естественно, что ПИН-код в контексте безопасности далеко не идеальный и его вряд ли можно сравнивать с такими способами защиты, как отпечаток пальца или скан сетчатки, которые доступны в «десятке» благодаря службе Windows Hello. Не смотря на это, данный метод также обладает некими преимуществами.
Зачем устанавливать PIN-код? Преимущества функции
В частности, ввод ПИН-кода отличается своей быстротой и в том случае, если нежданные гости смогут узнать заветную комбинацию, им станет доступным только конкретный ПК, а не все имеющиеся устройства. Таким образом данный ПИН не поможет злоумышленнику пройти авторизацию на других устройствах, которые связаны с аккаунтом. Другое дело, когда недображелателю удается скомпрометировать пароль – тогда появится доступ абсолютно ко всем платформам, которые привязаны к паролю.
Еще одним значительным преимуществом ПИН-кода является необходимость присутствия пользователя возле ПК, так как только в таком случае можно ввести код, чего не скажешь о пароле. Кроме того, если Ваше устройство будет похищено, злоумышленник никаким образом не сможет войти в систему, так как не знает ПИН.
Стоит отметить, что активация функции ПИН-кода необходима для пользователей, которые желают «открыть двери» к расширенным функциям безопасности. В частности, это касается современных способов защиты, которые предоставляет служба Windows Hello.
Еще небольшим бонусом использования ПИНа является его удобность набора в устройствах, которые функционируют на сенсорных экранах.
Активация опции ввода ПИН-кода
В целом, использование данной функции можно отнести к одной из самых элементарных процедур в системе. Также просто опция и включается. Для этого откройте главное меню системы и выберите раздел «Параметры», затем перейдите в подраздел «Учетные записи». С левой стороны в списке опций нажмите на пункт «Параметры входа». В правой части экрана найдите пункт «ПИН-код» и нажмите кнопку «Добавить».
После этого система сделает запрос о подтверждении личности через ввод пароля, затем Вы сможете добавить ПИН-код.
В том случае, когда юзер пользуется учетной записью Microsoft, необходимо набрать соответствующий пароль и нажать кнопку «Вход». Затем появится диалоговое окно, в центре которого будут находиться 2 поля для набора ПИНа и его подтверждения.
Система предполагает использование кода, минимальная длительность которого составляет 4 символа. В качестве этих символов могут использоваться цифры в интервале от 0 до 9 (и ничто другое). А вот максимум не имеет ограничений, так что спокойно включайте фантазию, ведь Вы беспокоитесь за безопасность своего устройства.
Для того чтобы проверить набранную комбинацию нажмите на иконку, которая располагается в конце второго поля с кодом. Чтобы внесенные поправки вошли в силу, завершите процедуру нажатием кнопки «ОК».
Как только Вы его добавите, во всех случаях, когда система требует авторизации, Вы сможете применять установленный ПИН. Стоит помнить, что загрузка безопасного режима предполагает авторизацию только через пароль – другие способы системой не рассматриваются.
Также следует помнить о некоторых нюансах во время набора кода. Как уже говорилось, лимит по количеству символов в ПИНе отсутствует и это позволяет создать такую комбинацию, что просто «черт голову сломит». В то же время, данная комбинация должна быть быстрой в использовании, так как применение кода не будет иметь серьезных отличий от заумных паролей.
Ни в коем случае не вводите банальные коды в формате 1111 или 1234, так как в данной ситуации совсем непонятно, есть ли смысл от такого кода, когда уровень защиты минимальный минимального.
Также следует исключить использование ПИНа, которые применяется в Ваших банковских аккаунтах или кредитных картах. Кроме того, не используйте одну и ту же комбинацию на разных платформах.
Изменение ПИН-кода в Windows 10
В том случае, если Вы сомневаетесь в надежности своей комбинации, код можно запросто заменить. Для этого нужно перейти в тот же раздел «Параметры входа», используя меню «Пуск». Теперь Вы увидите перед собой в пункте «ПИН-код» вместо кнопки «Добавить» кнопку «Изменить».
Собственно, после ее нажатия Вы сможете ввести более надежную комбинацию в поле «Новый ПИН-код» и набрав ее повторно в поле «Подтверждение ПИН-кода».
Впрочем, не редко случается, что пользователь забыл код – и такое бывает. В такой ситуации Вам необходимо сбросить забытые цифры. К счастью, сотрудники Microsoft предугадали и такое развитие событий. В целом из этой ситуации легко выбраться – зайдите в свою учетную запись, используя пароль. Далее перейдите в упомянутый раздел «Параметры входа» и в пункте «ПИН-код», рядом с кнопкой «Изменить» нажмите на ссылку «Я не помню свой ПИН-код».
После этого Вам потребуется еще раз ввести пароль, для того чтобы подтвердить свою личность и затем пользователь сможет ввести новый ПИН.
Как убрать ПИН-код на компьютере?
Для того чтобы деактивировать данную функцию, Вам необходимо осуществить процедуру сброса. Вот только в окошке, которое появляется для ввода кода, вместо набора ПИНа, просто жмите кнопку «Отмена».
Как видите, ПИН-код в «десятке» представляет весьма сильную и надежную защиту, кроме того он очень удобен при наборе. В принципе, все настройки, которые касаются кода, очень просты и внесение изменений предусматривает всего несколько действий. Кроме того, наши подробные инструкции должны не оставить у Вас никаких вопросов по этой теме.
Если у Вас остались вопросы по теме « Как поставить ПИН-код в Windows 10 при авторизации?», то можете задать их в комментариях
if(function_exists("the_ratings")) { the_ratings(); } ?>
Windows Hello в Windows10 позволяет пользователям выполнять вход на устройстве с использованием PIN-код. В чем заключаются отличия ПИН-кода от пароля и его преимущества? На первый взгляд, ПИН-код во многом аналогичен паролю. ПИН-код может представлять собой набор цифр, однако политикой предприятия может быть разрешено использование сложных ПИН-кодов, содержащих специальные знаки и буквы как в верхнем, так и в нижнем регистре. Например, значение t758A! может использоваться в качестве пароля учетной записи или сложного ПИН-кода в Hello. Преимущества ПИН-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.
ПИН-код привязан к устройству
Важным различием между паролем и ПИН-кодом Hello является привязка ПИН-кода к конкретному устройству, на котором он был задан. ПИН-код не может использоваться без конкретного оборудования. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи ПИН-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.
Даже сам пользователь сможет выполнить вход с помощью ПИН-кода только на конкретном устройстве. Чтобы выполнять вход на нескольких устройствах, потребуется настроить Hello на каждом из них.
ПИН-код хранится на устройстве локально
Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. ПИН-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. При вводе ПИН-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.
Примечание
Подробную информацию об использовании пар ассиметричных ключей для проверки подлинности в Hello см. в разделе Windows Hello для бизнеса .
ПИН-код поддерживается оборудованием
ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. Все Windows10 мобильные телефоны и во многих современных ноутбуках у доверенного платформенного МОДУЛЯ.
Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. Поскольку технология Hello подразумевает использование пар асимметричных ключей, учетные данные пользователей не будут похищены в случае нарушения безопасности поставщика удостоверений или веб-сайтов, к которым пользователь осуществляет доступ.
TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода. После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется.
ПИН-код может быть сложным
К ПИН-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и журнал изменений. Несмотря на уверенность большинства пользователей в том, что ПИН-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики , предполагающие уровень сложности ПИН-кода, сопоставимый с паролем. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.
Что произойдет в случае кражи ноутбука или телефона?
Для нарушения безопасности учетных данных Windows Hello, защищаемых TPM, злоумышленнику нужно осуществить доступ к физическому устройству, найти способ похитить биометрические данные пользователя или подобрать ПИН-код. Все это нужно сделать раньше, чем функциональный механизм защиты от взлома TPM заблокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.
Настройка BitLocker без TPM
Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы > Обязательная дополнительная проверка подлинности при запуске
В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM , а затем нажмите кнопку ОК .
Перейдите в меню Панель управления > Система и безопасность > Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить. Установка порога блокировки учетной записи
С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:
Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетных записей > Порог блокировки учетной записи
Установите допустимое количество неудачных попыток входа в систему и нажмите кнопку "ОК".
Если вы выполняете чистую установку Windows 10 1803 (или обновление с предыдущей версии, как мне подсказывают в твиттере) и выбираете вход с учетной записью Microsoft (MSA), вы получите предложение создать ПИН-код, от которого невозможно отказаться. Решение спорное, и оно сразу породило возмущение в соцсетях.
Конечно, после установки ПИН-код можно удалить в Параметры — Учетные записи — Параметры входа , но есть интересный нюанс. При следующей загрузке системы на экране входа предлагается ввести пароль, но выделена опция входа с ПИН-кодом (красная стрелка), потому что прошлый вход был с ним.
И если при таком раскладе ввести пароль, то на следующем экране вас снова будут принуждать к созданию ПИН-кода, и вот это уже очень неудачный UX. Отказаться в итоге можно, но проще сразу выбрать вход с паролем.
ПИН-код — не замена паролю
Хотя бы потому что без пароля его не создать. Для домашних пользователей с учетной записью Microsoft ПИН-код в первую очередь — удобство (и чем сложнее пароль, тем удобнее ПИН-код:)
Windows 10 не позволяет задавать слишком распространенные ПИН-коды
Это комбинации, в которых разность соседних цифр всегда одинаковая.
- Нельзя: 1111, 2345, 1357, 9630
- Можно: 1115, 2346, 1358, 9530
ПИН-код безопаснее в ряде сценариев
Он привязан к устройству, хранится только на нем, защищён TPM. Он не передается по сети в отличие от пароля, в чем и заключается один из главных аспектов безопасности [в организации]. Развернутое объяснение Microsoft .
ПИН-код не ограничен четырьмя цифрами и допускает прочие символы
При желании вы можете его сделать таким же сложным, как свой пароль.
И если раньше это надо было включать политиками, то в какой-то момент (похоже, в 1709) флажок добавили прямо в диалог создания ПИН-кода.
Бонус: имя профиля в зависимости от типа учетной записи
Возвращаясь к вопросу чистой установки, тут есть еще один нюанс, который для кого-то окажется важнее ПИН-кода. При входе с MSA имя папки вашего профиля формируется на основе первых 5-6 символов почтового адреса. Например, если моя MSA [email protected], то мой профиль будет sterk.
Обойти это можно созданием локальной (автономной) учетной записи с желаемым именем (допустим, Vadim), которую можно привязать к MSA после входа в систему. Впрочем, теперь для локального аккаунта заставляют придумывать контрольные вопросы:) На них лучше давать ответы, не связанные с вопросами.
Если вы не предусмотрели такого сценария и получили нежелательное имя профиля, в KB2454362 вы найдете инструкции по смене имени учетной записи и соответственно названия папки профиля.
А вы пользуетесь ПИН-кодом или биометрией для входа в систему?
