Когда вы настраиваете новое устройство в Windows 11, Microsoft требует создания PIN-кода для доступа к вашей учетной записи. PIN-код легче запоминается и обеспечивает более безопасный уровень безопасности, чем пароль.
🔗 Как создать сложный пароль, а затем его запомнить?
Windows Hello, служба к которой относиться, в том числе, и PIN, позволяет пользователям выполнять вход на устройстве с использованием комбинации цифр — простой ПИН-код. Или сложный, в котором пользователь может использовать набор цифр, специальных знаков и букв. И делать это вперемешку.
🎲 Чем ПИН-код отличается от пароля?
На первый взгляд — ничем. Например, значение t758A! может использоваться в качестве пароля учетной записи или сложного ПИН-кода в Hello. Но отличается он не своей структурой — длиной и сложностью, — а именно тем как он работает.
💻 ПИН-код привязан к устройству
Важное различие между паролем, в первую очередь сетевым, и ПИН-кодом Hello заключается в том, что ПИН-код жёстко привязан к конкретному устройству, на котором он и был настроен. ПИН-код не может использоваться без конкретного оборудования Более того, он бесполезен без этого устройства, к которому «привязан».
Тот злодей, кто украдет ваш сетевой пароль, может войти в вашу учетную запись из любого места. Если ему в руки попадёт ваш ПИН-код, ему ещё придётся украсть и ваше физическое устройство!
Да и сам пользователь сможет выполнить вход с помощью ПИН-кода только на конкретном устройстве. Чтобы выполнять вход на нескольких устройствах, потребуется настроить ПИН-код на каждом.
🖥️ ПИН-код хранится на устройстве локально
Сетевой пароль передается на сервер. Он может быть перехвачен при передаче или украден с сервера. ПИН-код задается на устройстве на локальном уровне, не передается и не хранится на сервере.
Локальные пароли никуда не передаются, хранятся в устройстве, однако они по-прежнему менее безопасны, чем ПИН-код.
«Вот сейчас не понял? — Скажет читатель. — Так в чём же разница? И ПИН-код и пароль хранятся локально, оба могут быть сложными и длинными, так? Так! Тогда почему ПИН-код лучше пароля?»
⚛️ Непростой ПИН-код
ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования.
TPM содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности модуля.
ПИН-код создается и становится доступным в TPM на устройстве пользователя, что защищает его от перехвата и использования злоумышленниками.
🔗 Как обойти требования TPM 2.0 и установить Windows 11
TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода. После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется.
➗ Сложный ПИН-код
Несмотря на уверенность большинства пользователей в том, что ПИН-код представляет собой простой код из 4 цифр, настроить можно любой уровень сложности ПИН-кода. И он будет сопоставимый с самым трудно угадываемым паролем.
Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.
🚨 А если ноутбук украдут?
Для компрометации учетных данных Windows Hello, которые находятся под защитой TPM, злоумышленник должен иметь доступ к физическому устройству, а затем, каким-то образом, найти способ подделать биометрические данные пользователя или угадать его ПИН-код.
Все это необходимо сделать, прежде чем защита TPM блокирует устройство. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.