De ce un PIN este mai bun decat o parola (Windows 10) – Microsoft 365 Security

• 23/10/2017
• 4 minute de citit

In acest articol

Se aplica la

• Windows 10

Windows Hello in Windows 10 permite utilizatorilor sa se conecteze la dispozitivul lor utilizand un cod PIN. In ce este diferit un PIN de (si mai bun decat) o parola? La suprafata, un PIN arata ca o parola. Un cod PIN poate fi un set de numere, dar politica de intreprindere poate permite coduri PIN complexe care includ caractere si litere speciale, atat majuscule, cat si minuscule. Ceva de genul t758A! poate fi o parola de cont sau un PIN complex Hello. Nu structura unui PIN (lungime, complexitate) o face mai buna decat o parola, ci functioneaza.

Urmariti-o pe Dana Huang explicand de ce un cod Windows Hello for Business este mai sigur decat o parola.

Codul PIN este legat de dispozitiv

O diferenta importanta intre o parola si un PIN Hello este ca PIN-ul este legat de dispozitivul specific pe care a fost configurat. PIN-ul respectiv este inutil pentru oricine fara acel hardware specific. Cineva care iti fura parola se poate conecta la contul tau de oriunde, dar daca iti fura codul PIN, ar trebui sa-ti fure si dispozitivul fizic!

Chiar si nu puteti utiliza acel cod nicaieri, cu exceptia dispozitivului respectiv. Daca doriti sa va conectati pe mai multe dispozitive, trebuie sa configurati Hello pe fiecare dispozitiv.

Codul PIN este local pentru dispozitiv

O parola este transmisa catre server – poate fi interceptata in transmisie sau furata de la un server. Un cod PIN este local pe dispozitiv – nu este transmis nicaieri si nu este stocat pe server. Cand este creat codul PIN, acesta stabileste o relatie de incredere cu furnizorul de identitate si creeaza o pereche de chei asimetrica care este utilizata pentru autentificare. Cand introduceti codul PIN, acesta deblocheaza cheia de autentificare si foloseste cheia pentru a semna cererea trimisa catre serverul de autentificare.

PIN-ul este sustinut de hardware

Codul PIN Hello este sustinut de un cip Trusted Platform Module (TPM), care este un criptoprocesor sigur care este conceput pentru a efectua operatiuni criptografice. Cipul include mai multe mecanisme de securitate fizica pentru a-l face rezistent la manipulare, iar software-ul rau intentionat nu poate manipula functiile de securitate ale TPM. Toate telefoanele mobile Windows 10 si multe laptop-uri moderne au TPM.

Materialul cheie utilizator este generat si disponibil in cadrul Trusted Platform Module (TPM) al dispozitivului utilizator, care il protejeaza de atacatorii care doresc sa capteze materialul cheie si sa-l refoloseasca. Deoarece Hello foloseste perechi de chei asimetrice, acreditarile utilizatorilor nu pot fi furate in cazurile in care furnizorul de identitate sau site-urile web accesate de utilizator au fost compromise.

TPM protejeaza impotriva unei varietati de atacuri cunoscute si potentiale, inclusiv atacuri cu forta bruta PIN. Dupa prea multe presupuneri incorecte, dispozitivul este blocat.

Codul PIN poate fi complex

Codul PIN Windows Hello for Business este supus aceluiasi set de politici de gestionare IT ca o parola, cum ar fi complexitatea, durata, expirarea si istoricul. Desi, in general, ne gandim la un PIN ca la un cod simplu din patru cifre, administratorii pot seta politici pentru dispozitivele gestionate pentru a necesita o complexitate PIN similara cu o parola. Puteti solicita sau bloca: caractere speciale, majuscule, minuscule si cifre.

Ce se intampla daca cineva fura laptopul sau telefonul?

Pentru a compromite o acreditare Windows Hello pe care TPM o protejeaza, un atacator trebuie sa aiba acces la dispozitivul fizic si apoi trebuie sa gaseasca o modalitate de a falsifica datele biometrice ale utilizatorului sau de a ghici PIN-ul acestuia – si toate acestea trebuie facute inainte de anti-lovirea TPM protectia blocheaza dispozitivul. Puteti oferi protectie suplimentara pentru laptopurile care nu au TPM activand BitLocker si setand o politica pentru a limita conectarile esuate.

Configurati BitLocker fara TPM

1. Utilizati Editorul de politici de grup local (gpedit.msc) pentru a activa urmatoarea politica:

   Configurare computer> Sabloane administrative> Componente Windows> Criptare unitate BitLocker> Unitati de sistem de operare> Necesita autentificare suplimentara la pornire

2. In optiunea de politica, selectati Permiteti BitLocker fara un TPM compatibil , apoi faceti clic pe OK.

3. Accesati Panoul de control> Sistem si securitate> Criptare unitate BitLocker si selectati unitatea sistemului de operare pentru protejare. Setati pragul de blocare a contului

4. Utilizati Editorul de politici de grup local (gpedit.msc) pentru a activa urmatoarea politica:

   Configurare computer> Setari Windows> Setari de securitate> Politici de cont> Politica de blocare a contului> Prag de blocare a contului

5. Setati numarul de incercari de conectare nevalide pentru a permite, apoi faceti clic pe OK.

De ce aveti nevoie de un cod PIN pentru a utiliza biometria?

Windows Hello permite conectarea biometrica pentru Windows 10: amprenta, iris sau recunoastere faciala. Cand configurati Windows Hello, vi se cere sa creati mai intai un cod PIN. Acest PIN va permite sa va conectati utilizand PIN-ul atunci cand nu puteti utiliza biometrul preferat din cauza unei vatamari sau din cauza faptului ca senzorul nu este disponibil sau nu functioneaza corect.

Daca ati configurat doar o conectare biometrica si, din orice motiv, nu ati putut utiliza metoda respectiva pentru a va conecta, ar trebui sa va conectati utilizand contul si parola dvs., ceea ce nu va ofera acelasi nivel de protectie ca Buna ziua.

• Windows Hello for Business
• Cum functioneaza Windows Hello for Business
• Gestionati Windows Hello for Business in organizatia dvs.
• Pregatiti oamenii sa foloseasca Windows Hello
• Windows Hello si modificari ale parolei
• Erori Windows Hello in timpul crearii codului PIN
• ID eveniment 300 – Windows Hello creat cu succes
• Biometria Windows Hello in intreprindere