В цій статті
ПІН-код прив'язаний до пристрою
ПІН-код зберігається на пристрої локально
Пароль передається на сервер і може бути перехоплений в процесі передачі або вкрадений з сервера. ПІН-код задається на пристрої на локальному рівні, не передається і не зберігається на сервері. При створенні ПІН-коду встановлюються довірчі відносини з постачальником посвідчень і створюється пара асиметричних ключів, використовуваних для перевірки автентичності. При введенні ПІН-коду ключ перевірки автентичності розблокується і використовується для підтвердження запиту, що відправляється на сервер для перевірки автентичності.
Примітка
Детальну інформацію про використання пар асиметричних ключів для перевірки автентичності в Hello см. В розділі Windows Hello для бізнесу.
ПІН-код підтримується обладнанням
Матеріал ключа користувача створюється і стає доступним в довіреному платформенном модулі (TPM) на пристрої користувача, що захищає матеріал від перехоплення і використання зловмисниками. Оскільки технологія Hello має на увазі використання пар асиметричних ключів, облікові дані користувачів не будуть викрадені в разі порушення безпеки постачальника посвідчень або веб-сайтів, до яких користувач здійснює доступ.
TPM захищає від безлічі відомих і потенційних атак, в тому числі атак методом підбору ПІН-коду. Після певної кількості спроб введення неправильного ПІН-коду пристрій блокується.
ПІН-код може бути складним
До ПІН-коду Windows Hello для бізнесу застосовується той же набір політик управління ІТ, що і до паролю, в тому числі складність, довжина, термін дії та історія змін. Незважаючи на впевненість більшості користувачів в тому, що ПІН-код являє собою простий код з 4 цифр, адміністратори можуть встановлювати для керованих пристроїв політики. які передбачають рівень складності ПІН-коду, який можна порівняти з паролем. Ви можете зробити обов'язковими або заборонити спеціальні знаки, букви у верхньому і нижньому регістрах, а також і цифри.
Для порушення безпеки облікових даних Windows Hello, що захищаються TPM, зловмисникові потрібно здійснити доступ до фізичного пристрою, знайти спосіб викрасти біометричні дані користувача або підібрати ПІН-код. Все це потрібно зробити раніше, ніж функціональний механізм захисту від злому TPM заблокує пристрій. Для ноутбуків, які не мають TPM, можна налаштувати додатковий захист, активувавши BitLocker і обмеживши кількість невдалих спроб входу в систему.
Налаштування BitLocker без TPM
Конфігурація комп'ютера> Адміністративні шаблони> Компоненти Windows> Шифрування диска BitLocker> Диски операційної системи> Обов'язкова додаткова перевірка справжності при запуску
В параметрах політики виберіть Дозволити використання BitLocker без сумісного TPM. а потім натисніть кнопку ОК.
Конфігурація комп'ютера> Параметри Windows> Параметри безпеки> Політики облікових записів> Політика блокування облікових записів> Поріг блокування облікового запису
Встановіть допустима кількість невдалих спроб входу в систему і натисніть кнопку "ОК".
Що робити, якщо я не пам'ятаю свій ПІН-код?
Починаючи з Windows 10 версіі1703 пристрої, для управління якими використовується Microsoft Intune. можуть скидати забутий ПІН-код, не видаляючи дані або програми, керовані організацією.
Скидання забутого ПІН-коду на Windows Phone
Щоб скинути забутий ПІН-код на Windows Phone, необхідно знайти пристрій на порталі Intune. Вибравши пристрій, клацніть Додатково> Створити секретний код. щоб створити новий ПІН-код.
Після цього на пристрій прийде повідомлення для розблокування пристрою і вам доведеться вказати створений ПІН-код, щоб розблокувати пристрій. Розблокувавши пристрій, ви можете скинути PIN-код.
Скидання забутого ПІН-коду на комп'ютері
Коли пристрій буде розблоковано, перейдіть в меню Параметри> Облікові записи> Параметри входу і в розділі ПІН-код виберіть Я не пам'ятаю свій ПІН-код.
Після входу вам буде запропоновано змінити ПІН-код.
Чому для використання біометрії потрібен ПІН-код?
Якщо ви налаштуєте тільки біометричні дані для входу в систему і не зможете з будь-якої причини виконати вхід з їх використанням, ви повинні будете ввести ім'я та пароль від облікового запису, що менш безпечно, ніж вхід за допомогою Hello.