為什麼 PIN 更勝於密碼

適用對象

  • Windows 10
  • Windows 10 行動裝置版

Windows 10 中的 Windows Hello 可讓使用者使用 PIN 來登入他們的裝置。 與密碼相比,PIN 有何不同及優勢? 表面上,PIN 看起來很像密碼。 PIN 可以是一組數字,但企業原則可能會允許包含特殊字元以及字母 (大寫與小寫) 等更複雜的 PIN。 例如 t758A! 可以是帳戶密碼或複雜的 Hello PIN。 PIN 的結構 (長度、複雜度) 並不是它比密碼更好的原因,而是它的運作方式。

PIN 會與裝置繫結

密碼與 Hello PIN 之間有一個最重要的差異,就是在哪個裝置上設定 PIN,PIN 就會與該特定裝置繫結。 在沒有該特定裝置的情況下,該 PIN 對任何人而言都毫無用處。 竊取您密碼的任何人可以從任何位置登入您的帳戶,但是如果他們竊取的是您的 PIN,他們也必須竊取您的實體裝置!

即使是您也無法在該特定裝置以外的任何位置使用該 PIN。 如果您想要在多個裝置上登入,您就必須在每個裝置上設定 Hello。

PIN 侷限於裝置本機

密碼會傳送到伺服器 -- 它可以在傳輸過程中攔截或從伺服器竊取。 PIN 會侷限在裝置 -- 它不會傳輸到任何地方,也沒有儲存在伺服器上。 建立 PIN 時,它會與身分識別提供者建立受信任的關係,並建立一個用來驗證的非對稱金鑰組。 當您輸入 PIN 時,它會將驗證金鑰解除鎖定,並使用該金鑰來簽署傳送給驗證伺服器的要求。

注意

如需 Hello 如何使用非對稱金鑰組進行驗證的詳細資訊,請參閱 Windows Hello 企業版

PIN 受硬體支援

Hello PIN 受「信賴平台模組」(TPM) 晶片支援,這是一個專門設計來執行密碼編譯作業的安全密碼編譯處理器。 此晶片包含多個實體安全性機制,使得它具備防竄改功能,在 TPM 安全性功能的加持下,惡意程式碼軟體便無法進行竄改。 所有的 Windows 10 行動電話和許多現代的膝上型電腦都有 TPM.

使用者金鑰資料是在使用者裝置的「信賴平台模組」(TPM) 內產生和提供,可保護使用者裝置以防止攻擊者擷取金鑰資料並加以重複使用。 由於 Hello 使用非對稱式金鑰組,因此即使身分識別提供者或使用者存取的網站被入侵,也無法竊取使用者認證。

TPM 可抵禦各種已知及潛在的攻擊,包括 PIN 暴力密碼破解攻擊。 太多次不正確的猜測之後,裝置會鎖定。

PIN 可以很複雜

「Windows Hello 企業版」PIN 受到與密碼相同的一組 IT 管理原則限制,例如複雜度、長度、到期時間及歷程記錄。 雖然我們通常認為 PIN 是簡單的 4 位數代碼,但是系統管理員可以為受管理的裝置設定原則,來要求 PIN 複雜度必須與密碼類似。 您可以要求或封鎖:特殊字元、大寫字元、小寫字元及數字。

如果有人竊取膝上型電腦或手機,該怎麼辦?

若要入侵 TPM 所保護的 Windows Hello 認證,攻擊者必須要能夠存取實體裝置,然後必須設法騙取使用者的生物特徵辨識或猜出使用者的 PIN,而所有這一切都必須在 TPM 反鎚 保護功能鎖定裝置之前完成。 您可以透過啟用 BitLocker 並設定原則來限制失敗的登入,為沒有 TPM 的膝上型電腦提供額外的保護。

在不含 TPM 的情形下設定 BitLocker

  1. 使用本機群組原則編輯器 (gpedit.msc) 來啟用下列原則:

    [電腦設定] > [系統管理範本] > [Windows 元件] > [BitLocker 磁碟機加密] > [作業系統磁碟機] > [啟動時需要其他驗證]

  2. 在 [原則] 選項中,選取 [在不含相容 TPM 的情形下允許使用 BitLocker],然後按一下 [確定]

  3. 移至 [控制台] > [系統及安全性] > [BitLocker 磁碟機加密] 並選取要保護的作業系統磁碟機。 設定帳戶鎖定閥值
  4. 使用本機群組原則編輯器 (gpedit.msc) 來啟用下列原則:

    [電腦設定] > [Windows 設定] > [安全性設定] > [帳戶原則] > [帳戶鎖定原則] > [帳戶鎖定閾值]

  5. 設定允許的無效登入嘗試次數,然後按一下 [確定]。

為什麼需要 PIN 才能使用生物識別技術?

Windows Hello 可為 Windows 10 啟用生物特徵辨識登入功能:指紋、虹膜或臉部辨識。 當您設定 Windows Hello 時,系統會要求您先建立 PIN。 當您因為受傷,或是因為沒有感應器或感應器故障,而無法使用慣用的生物特徵辨識時,這個 PIN 可讓您使用 PIN 登入。

如果您只設定了生物特徵辨識登入,但因任何原因而無法使用該方法登入,您就必須使用您的帳戶和密碼登入,而這無法提供與 Hello 相同等級的保護。

相關主題

找不到您需要的內容嗎? Windows 10 使用者,請於意見反應中樞告訴我們您想要什麼。