PIN 优于密码的原因

适用范围

  • Windows 10

Windows Hello in Windows10 使用户能够使用 PIN 登录到其设备。 PIN 在哪方面不同于(优于)密码? 表面上看,PIN 看起来很像密码。 PIN 可以是一组数字,但企业策略可能允许包括特殊字符和字母(大小写均可)的复杂 PIN。 类似于 t758A! 的内容可以是帐户密码,或者是复杂的 Hello PIN。 使 PIN 优于密码的不是它的结构(长度、复杂性),而是它的工作原理。

PIN 绑定到设备

密码和 Hello PIN 之间的一个重要区别在于,PIN 会绑定到设置它的特定设备上。 如果没有该特定硬件,此 PIN 对任何人都无用。 盗取密码的人可以在任何地方登录你的帐户,但是如果盗取 PIN,他们还必须盗取你的物理设备!

即使你本人也无法在除该特定设备之外的任何地方使用该 PIN。 如果你希望在多台设备上登录,则必须在每台设备上设置 Hello。

PIN 是设备的本地凭据

密码经过传输到达服务器,因此可以在传输中截获密码或从服务器盗取密码。 PIN 是设备的本地凭据,它不会传输到任何地方,并且也不存储在服务器上。 创建 PIN 时,它与标识提供者建立受信任的关系,并且创建用于身份验证的非对称密钥对。 当你输入 PIN 时,它会解锁身份验证密钥,并使用此密钥对发送到身份验证服务器的请求进行签名。

备注

有关 Hello 如何使用非对称密钥对进行身份验证的详细信息,请参阅 Windows Hello 企业版

PIN 受硬件支持

Hello PIN 由受信任的平台模块 (TPM) 芯片支持,该芯片是为执行加密操作而设计的安全加密处理器。 该芯片包含多个物理安全机制以使其防篡改,并且恶意软件无法篡改 TPM 的安全功能。 所有 Windows10 的手机和许多现代笔记本电脑都有 TPM。

用户密钥材料在用户设备的受信任的平台模块 (TPM) 内生成和提供,从而可以保护密钥材料免受想要捕获和重复使用它的攻击者的攻击。 由于 Hello 使用非对称密钥对, 用户凭据在用户访问的标识提供者或网站遭到破坏的情况下不能被盗用。

TPM 可抵御各种已知和潜在的攻击,包括 PIN 暴力攻击。 过多的错误猜测将导致设备锁定。

PIN 可以很复杂

Windows Hello 企业版 PIN 与密码一样遵守相同的 IT 管理策略组,例如复杂性、长度、到期时间和历史记录。 尽管我们通常认为 PIN 是简单的四位数代码,但管理员可以设置托管设备的策略以要求 PIN 的复杂性与密码类似。 你可以要求或阻止:特殊字符、大写字母、小写字母和数字。

如果有人盗取笔记本电脑或手机将会怎样?

若要危害受 TPM 保护的 Windows Hello 凭据,攻击者必须能够接触到物理设备,然后必须找到一种欺骗方式来绕过用户的生物识别或者猜到他/她的 PIN,而所有这些都必须在 TPM 反攻击保护功能锁定设备之前完成。 你可以通过启用 BitLocker 并设置限制失败登录的策略来为不带有 TPM 的笔记本电脑提供额外保护。

配置未带有 TPM 的 BitLocker

  1. 使用本地组策略编辑器 (gpedit.msc) 启用以下策略:

    “计算机配置”>“管理模板”>“Windows 组件”>“BitLocker 驱动器加密”>“操作系统驱动器”>“启动时需要附加身份验证”

  2. 在策略选项中,选择没有兼容的 TPM 时允许 BitLocker,然后单击确定

  3. 依次转到“控制面板”>“系统和安全”>“BitLocker 驱动器加密”,然后选择要保护的操作系统驱动器。 设置帐户锁定阈值
  4. 使用本地组策略编辑器 (gpedit.msc) 启用以下策略:

    “计算机配置”>“Windows 设置”>“安全设置”>“帐户策略”>“帐户锁定策略”>“帐户锁定阈值”

  5. 设置无效登录尝试的允许次数,然后单击“确定”。

为什么需要 PIN 才能使用生物识别?

Windows Hello 支持 Windows10 的生物识别登录: 指纹、虹膜或面部认可。 在设置 Windows Hello 时,会要求你首先创建 PIN。 此 PIN 可使你在由于受伤或传感器不可用或无法正常运行的情况下无法使用首选的生物识别时,使用 PIN 登录。

如果你仅配置了生物识别登录,并且出于任何原因无法使用该方法登录,则必须使用帐户和密码登录,但这不会提供与 Hello 相同级别的保护。

相关主题