Новые методы проверки подлинности Windows 10 или смогут ли PIN-коды стать безопаснее паролей

Как вы знаете, компания Microsoft и операционные системы Windows еще с давних времен предоставляют пользователю для проверки подлинности при попытке входа в систему использовать несколько различных методов. К таким методам относятся выполнение входа в локальную систему или в доменную сеть, средствами ввода имени учетной записи и специально сгенерированного пароля. В таком случае пользователю будет предоставлен доступ к ресурсам локального компьютера и, в случае с входом в домен, к ресурсам, расположенным на локальном компьютере и в домене. Естественно, для выполнения входа в домен пользователю нужно обладать соответствующей доменной учетной записью. Более того, для выполнения входу в систему под доменной учетной записью, пользователи могут использовать смарт-карты. Этот метод проверки подлинности уже, в свою очередь, требует наличия секретных криптографических ключей. В операционной системе Windows 7 уже полноценно появилась возможность для выполнения проверки подлинности использования биометрии. К таким данным относятся те же сканеры отпечатков пальцев, которые можно найти на ноутбуках. Если говорить в двух словах, то операционная система записывает цифровое представление отпечатка пальца, после этого предоставленный пользователем отпечаток пальца сравнивается с артефактом образца, и когда система находит в них совпадение, выполняется вход в систему. Как показывает практика, этот метод проверки подлинности зачастую используется не в доменном окружении, а на локальных рабочих станциях. Операционные системы Windows 8 предоставили возможность выполнения проверки подлинности на основании графического пароля. Пользователь выбирает изображение, на котором система генерирует некую сетку, где уже пользователь добавляет определенные жесты (точки, линии или окружности). После этого, во время выполнения входа, операционная система сравнивает введенные пользователем жесты с зарегистрированным ранее в системе набором. Между прочим, как показывает практика, большинство пользователей для выполнения входа в систему лишь немного играются с графическими паролями, но все равно приоритетным считают метод ввода пароля.

С выходом операционной системы Windows 10 разработчики Microsoft предоставили новую службу Microsoft Passport с такими методами проверки подлинности, как использование PIN-кодов и Windows Hello. Являются ли эти методы революционным прорывом или же это будет аналог графических паролей, с которыми просто изредка пользователи будут играться? Попробуем с этим разобраться в данной статье.

Что такое Microsoft Passport

Как гласят официальные источники, в какой-то момент в компании Microsoft задумались о том, что пароли крайне уязвимы воздействию фишинговых атак, а также атак методом перебора, и решили разработать средство, которое позволит раз и навсегда защитить пользовательские данные от действий злоумышленников. И вот как раз это средство и называется Microsoft Passport. Так что же это такое?

Служба Microsoft Passport – это новый, основанный на сертификатах метод проверки подлинности, который позволяет отказаться от паролей. То есть, данная служба обеспечивает изоляцию процесса для ключей шифрования, которые используются для проверки подлинности для связанных поставщиков удостоверений пользователя. Если говорить немного подробнее о таких поставщиках, то пользователь может выполнять проверку подлинности для учетной записи Microsoft, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory или любой сторонней службы, которая поддерживает проверку подлинности Fast ID Online (FIDO). После выполнения первоначальной двухфакторной проверки подлинности при регистрации пользователя на устройстве, настраивается служба Microsoft Passport, а затем пользователь определяет действия, также называемые жестами (в оригинале gesture), которые в будущем будут использоваться для проверки подлинности. Такими действиями могут быть либо Windows Hello, либо использование PIN-кода. Для проверки своего удостоверения пользователь выполняет требуемые действия, после чего для проверки подлинности пользователя и предоставления доступа к защищенным ресурсам и службам операционная система Windows использует службу Microsoft Passport.

Рассмотрим используемую в Microsoft Passport пару ключей шифрования более подробно. Закрытый ключ должен быть доступен только для таких пользовательских жестов, как PIN-коды, биометрия, а также для таких устройств, как смарт-карты, которые используются пользователями для выполнения входа в систему. Этот ключ обязательно должен быть основан на сертификате или асимметричной паре ключей. Обратите внимание на то, что этот закрытый ключ будет проверяться на оборудовании, если такое устройство оснащено чипом доверенного платформенного модуля (то есть, трудно доступный в наших реалиях TPM). Закрытый ключ никогда не покидает устройство.

В свою очередь, открытый ключ должен быть зарегистрирован в Azure Active Directory и Windows Server Active Directory. Поставщики удостоверений проверяют подлинность пользователя путем сопоставления открытого ключа пользователя с закрытым ключом и обеспечивают выполнение входа в систему посредством одноразового пароля (One Time Password, OTP), механизма различных уведомлений или же средствами PhoneFactor.

Таким образом, в представлении Microsoft Passport, проверка подлинности представляет собой двухфакторную проверку с использованием ключа или сертификата и такой информации, известной пользователю, как PIN-код или идентификационные данные пользователя Windows Hello. Рассмотрим еще подробнее жизненный цикл службы Microsoft Passport:

  1. Пользователь подтверждает свою личность путем различных встроенных методов проверки подлинности, к которым относятся жесты, смарт-карты или многофакторная проверка подлинности. Затем он отправляет эту информацию такому поставщику удостоверений, как Azure Active Directory или Active Directory;
  2. После этого устройство создает ключи, занимает открытый ключ, присваивает его заявленной рабочей станции, подписывает, и для последующей регистрации ключа отправляет его поставщику удостоверений;
  3. Как только открытый ключ будет зарегистрирован поставщиком удостоверений, для подписания закрытого ключа поставщик выбирает устройство. Он проверяет его и выдает токен проверки подлинности, который позволяет пользователю получить доступ к защищенным ресурсам;
  4. На последнем этапе поставщик удостоверений проверяет и выдает токен проверки подлинности, который позволяет пользователю и его устройству получать доступ к защищенным ресурсам. Для создания и использования учетных данных Microsoft Passport для пользователей, поставщики могут записывать кросс платформенные приложения или использовать поддержку браузера при помощи JS/Webcrypto API.

Визуально на этот жизненный цикл можно посмотреть на следующей иллюстрации:

Жизненный цикл Microsoft Passport

Рис. 1. Жизненный цикл Microsoft Passport

Использование Microsoft Passport и создание PIN-кода для учетной записи Microsoft

С тем, что собой представляет и как в общих чертах работает Microsoft Passport мы разобрались, а теперь настало время перейти к практической части и посмотреть на то, каким образом можно настроить PIN-коды для выполнения входа на рабочую станцию Windows 10, которая не присоединена к домену Active Directory. Для этого нужно выполнить следующие действия:

  1. Откройте параметры системы, а затем перейдите к группе «Учетные записи» и разделу «Параметры входа» (Settings > Accounts > Sign-in Options);
  2. Перейдите к секции «ПИН-код» (PIN) и, как показано на следующей иллюстрации, нажмите на кнопку «Добавить» (Add):

    Добавление PIN-кода

    Рис. 2. Добавление PIN-кода

  3. На следующем этапе вам нужно будет подтвердить существующий пароль, который вы указали для своей учетной записи Microsoft. В том случае, если у вас включена двухфакторная проверка подлинности, операционная система предложит вам ввести специальный код, который вам будет отправлен на телефон. Первая страница диалога подтверждения пароля учетной записи Microsoft представлена на следующей иллюстрации:

    Подтверждение пароля к учетной записи Microsoft

    Рис. 3. Подтверждение пароля к учетной записи Microsoft

  4. После того как операционная система подтвердит пароль к вашей учетной записи, перед вами отобразится диалоговое окно «Настройка ПИН-кода» (Set up a PIN), где вам нужно будет указать и подтвердить PIN-код для своей учетной записи. Обратите внимание на то, что по умолчанию вы не можете в качестве символов PIN-кода использовать буквы. Также пароль должен состоять как минимум из 4 цифр. Между прочим, максимальное значение – 127 цифр, но, полагаю, вряд ли кто-либо будет использовать PIN-код такой длины. После того как PIN-код будет введен, для завершения процедуры нажмите на кнопку «ОК». Данное диалоговое окне изображено на следующей иллюстрации:

    Настройка PIN-кода

    Рис. 4. Настройка PIN-кода

PIN-код добавлен и теперь для выполнения входа в систему наряду с обыкновенным паролем вы можете использовать PIN-код. Так как с первоначальной настройкой PIN-кода вы уже познакомились, можно переходить ко второму методу проверки подлинности Microsoft Password, а именно к Windows Hello. В данном случае будет настраиваться процесс выполнения входа в операционную систему Windows с использованием отпечатка пальца. Для этого вам нужно будет сделать следующее:

  1. В разделе параметров входа настройки учетных записей пользователей перейдите к секции «Windows Hello» и, как показано на следующей иллюстрации, нажмите на кнопку «Настройка» (Set up):

    Начало настройки входа в систему с использованием отпечатков пальцев

    Рис. 5. Начало настройки входа в систему с использованием отпечатков пальцев

  2. На первой странице мастера вы можете прочитать о том, насколько удобным является метод проверки подлинности средствами использования отпечатков пальца, а заем нажать на кнопку «Начать» (Get started):

    Первая страница мастера настройки отпечатков пальцев

    Рис. 6. Первая страница мастера настройки отпечатков пальцев

  3. Чтобы подтвердить свою личность, как и в случае с добавлением PIN-кода вам нужно указать свои данные проверки подлинности. Если в случаем с созданием PIN-кода вам нужно было указывать свой пароль, то сейчас вам нужно подтвердить свой PIN-код. Подтверждаем его. Обратите внимание на то, что вам не нужно нажимать какие-либо дополнительные кнопки. Сразу после того, как Windows подтвердит ваш PIN-код, вы перейдете к следующей странице мастера.

    Подтверждение пользовательского PIN-кода

    Рис. 7. Подтверждение пользовательского PIN-кода

  4. На следующем шаге вам нужно будет просканировать свой палец. Естественно, вы можете выбрать любой палец. На этом этапе нет ничего сложного. Вы просто несколько раз проводите своим пальцем по сканеру отпечатков пальцев, расположенному на вашем ноутбуке. Если точнее, то нужно будет отсканировать свой палец 5 раз. Этап сканирования отпечатка пальца изображен на следующей иллюстрации:

    Сканирование отпечатка пальца

    Рис. 8. Сканирование отпечатка пальца

  5. После этого операционная система оповестит вас о том, что отпечаток пальца успешно отсканирован и при последующем выполнении входа в системы вы можете вместо PIN-кода и обычного пароля уже использовать сканирование отпечатка пальца. Если вы хотите для выполнения этой операции добавить еще один палец, можете нажать на кнопку «Добавить еще» (Add another), как видно ниже:

    Завершение настройки выполнения входа в систему по отпечатку пальца

    Рис. 9. Завершение настройки выполнения входа в систему по отпечатку пальца

Дополнительные операции по управлению PIN-кодом и отпечатками пальцев

Помимо добавления этих методов проверки подлинности операционная система Windows еще предоставляет некоторые операции по управлению сгенерированными PIN-кодами и отпечатками пальцев. К таким операциям относятся изменение, сброс и удаление PIN-кода, а также добавление дополнительного отпечатка пальца и их удаление. Рассмотрим все по порядку.

Изменение PIN-кода

Изменение созданных ранее PIN-кодов является штатной задачей по управлению этим методом проверки подлинности. Для того чтобы изменить существующий PIN-код, нужно выполнить следующие действия:

  1. Откройте параметры системы, перейдите к группе «Учетные записи» и разделу «Параметры входа» (Settings > Accounts > Sign-in Options), а затем, находясь в секции «ПИН-код» (PIN) нажмите на кнопку «Изменить» (Change);
  2. В отобразившемся диалоговом окне «Изменение ПИН-кода» (Change your PIN) вам нужно ввести существующий PIN-код, а в следующих двух текстовых полях указать новый PIN-код и подтвердить его. Данное диалоговое окно показано на следующей иллюстрации:

    Изменение PIN-кода

    Рис. 10. Изменение PIN-кода

По нажатию на кнопку «ОК» ваш PIN-код будет изменен.

Сброс PIN-кода

Как и в случае с обыкновенными паролями не стоит исключать возможности, что пользователь может забыть свой PIN-код. На этот случай Microsoft в своей операционной системе Windows 10 реализовали возможность сброса PIN-кодов. Итак, для того чтобы сбросить существующий PIN-код вы должны:

  1. Открыть параметры системы, перейти к группе «Учетные записи» и разделу «Параметры входа» (Settings > Accounts > Sign-in Options), после чего, в секции «ПИН-код» (PIN) перейти по ссылке «Я не помню свой ПИН-код» (I forgot my PIN). Данная ссылка видна на 5-й иллюстрации;
  2. В отобразившемся диалоговом окне «Вы действительно забыли ПИН-код?» (Are you sure you forgot your PIN?) Microsoft вас информирует о том, что единственный метод восстановления забытого PIN-кода – его сброс и последующее создание нового кода. Так как нет других вариантов, как видно на следующей иллюстрации, нажмите на кнопку «Далее» (Continue):

    Первый шаг к сбросу забытого PIN-кода

    Рис. 11. Первый шаг к сбросу забытого PIN-кода

  3. Так как при создании своего PIN-кода вам нужно было подтвердить пароль к учетной записи Microsoft, в случае с его сбросом вам предстоит выполнить аналогичные действия. Другими словами, в диалоговом окне «Введите пароль еще раз» (Please reenter your password) вам нужно ввести свой пароль и если у вас запросят подтверждение пароля в виде кода из СМС, введите его в соответствующее текстовое поле;
  4. На странице «Настройка ПИН-кода» (Set up a PIN) вам нужно ввести новый PIN-код, который заменит забытый существующий. После того как вы введете и подтвердите новый PIN-код нажмите на кнопку «ОК». Данное диалоговое окно изображено на очередной иллюстрации:

    Создание нового PIN-кода

    Рис. 12. Создание нового PIN-кода

Удаление PIN-кода

Удаление существующего PIN-кода также является тривиальной задачей по управлению PIN-кодами. Если вы пробежитесь по настройкам, предоставленным в разделе параметров входа учетных записей, то изначально, в секции управления PIN-кодами вы не найдете кнопки, отвечающей за удаление добавленного вами PIN-а. Но удалить его, естественно, можно. Для этого вам нужно вызвать диалоговое окно настройки PIN-кода для сброса существующего PIN-а, оставить оба текстовых поля («Новый ПИН-код» (New PIN) и «Подтверждение ПИН-кода» (Confirm PIN)) пустыми, а затем нажать на кнопку «Отмена» (Cancel). Во такой немного не очевидный метод.

Обратите внимание на то, что удаление PIN-кода не удалит отсканированные вами отпечатки пальцев, однако пока вы не добавите новый PIN-код, вы не сможете выполнять проверку подлинности по своему отпечатку. Windows Hello просто не может работать без установленного PIN-кода. Между прочим, после того как вы добавите новый PIN-код, вам не нужно будет заново сканировать свои отпечатки. Так что предупреждение, которое вы можете заметить на следующей иллюстрации можно назвать отчасти правильным.

Предупреждение об ограничениях при работе с Windows Hello

Рис. 13. Предупреждение об ограничениях при работе с Windows Hello

Так как со всеми операциями, выполняемыми с PIN-кодами мы уже разобрались, пора рассмотреть возможности добавления дополнительных и удаления существующих отпечатков пальцев.

Добавление и удаление дополнительных отпечатков пальцев

Чтобы добавить дополнительный отпечаток пальца, нужно в разделе параметров входа учетных записей перейти к группе «Windows Hello» и нажать на кнопку «Добавить еще» (Add another). Как и в случае с добавлением первого отпечатка пальца перед вами отобразится диалоговое окно «Добро пожаловать в Windows Hello» (Welcome to Windows Hello), где после прочтения соответствующей информации следует нажать на кнопку «Начать» (Get started).

Теперь, в отличие от операции добавления первого отпечатка пальца, в диалоге подтверждения личности вы можете либо указать свой PIN-код, либо отпечаток отсканированного пальца. Какой метод проверки подлинности вы выберите – без разницы, главное ее пройти. Диалоговое окно подтверждение подлинности показано ниже:

Подтверждение личности для добавления дополнительного отпечатка пальца

Рис. 14. Подтверждение личности для добавления дополнительного отпечатка пальца

Как только ваша личность будет подтверждена, перед вами отобразится уже знакомое диалоговое окно сканирования отпечатка пальца, где вы сможете отсканировать очередной палец. Кстати, если после добавления второго отпечатка пальца вы выберите опцию по добавлению еще одного отпечатка, то прогресс сканирования не будет отображаться (придется сосчитать до пяти сканирований), что не очень удобно.

При сканировании отпечатков пальцев мною также был обнаружен немного неочевидный момент. После того как я просканировал 10-й палец, в группе «Windows Hello» все еще присутствовала кнопка «Добавить еще». Как по мне, то это немного странное поведение, так как трудно найти среднестатистического человека, у которого на руках будет более 10-ти пальцев. Также в отличие от сторонних программных продуктов при помощи данной функциональной возможности вы не можете управлять открытием других приложений или открытием определенных вкладок в браузере. Как по мне, то несмотря на то, что эта замечательная функциональная возможность наконец-то появилась с выходом операционной системы Windows 10, еще нужно дорабатывать и дорабатывать.

Более того, вы не можете удалить из базы отпечаток какого-то конкретного пальца. Если в группе отпечатков пальцев Windows Hello вы нажмете на кнопку «Удалить» (Remove), то у вас будут сразу удалены все отсканированные отпечатки, что, как по мне, также является жирным недостатком.

Еще один неприятный факт, касательно службы Microsoft Passport. Если предположить, что впервые на компьютере проверкой подлинности с PIN-кодами воспользовался пользователь, у которого уже был пароль к своей учетной записи и этот пароль, естественно, уже никуда не денется, то при добавлении нового пользователя ПК (не доменного, не пользователя, который обладает учетной записью Microsoft, а обыкновенного юзера, которых все еще недавно так любили создавать), такому пользователю не будет предоставлено возможности использования PIN-кода вместо обыкновенного пароля. Таким образом, какой бы не была устойчивой служба Microsoft Passport от паролей нам пока еще никуда не деться и проверка подлинности по PIN-кодам пока еще будет лишь неким дополнением к используемым учетными записями паролям.

Добавление нового пользователя и отсутствие возможности создания PIN-кода без пароля

Рис. 15. Добавление нового пользователя и отсутствие возможности создания PIN-кода без пароля

Заключение

На этом данная статья подходит к концу. Из материала этой статьи вы узнали о новой функциональной возможности операционной системы Windows 10 – Microsoft Passport. Вы узнали о том, что собой представляет эта функциональная возможность, какие методы проверки подлинности она предоставляет, а также как выглядит жизненный цикл службы Microsoft Passport. Я рассказал о том, как можно настроить PIN-код, а также как можно его изменить, сбросить или удалить. Более того, из этой статьи вы узнали о настройке метода проверки подлинности Windows Hello, а именно о настройке отпечатка пальца.

Если вас заинтересовал материал этой статьи, то в следующей статье я могу рассказать о том, как можно использовать службу Microsoft Passport и PIN-коды в среде Active Directory. До встреч!

VN:F [1.9.22_1171]
Rating: 10.0/10 (3 votes cast)
Новые методы проверки подлинности Windows 10 или смогут ли PIN-коды стать безопаснее паролей, 10.0 out of 10 based on 3 ratings

5 комментариев

  1. У меня есть ноутбук со сканером отпечатков пальцев. На 10-ке драйвера поставились, но пункта в меню, который позволит включить эту функцию — нет. Как включить?

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)
    1. То есть, у вас группа Windows Hello не активна или вообще отсутствует? Скриншот не помешал бы, если честно..

      VN:F [1.9.22_1171]
      Rating: 0 (from 0 votes)
      1. Группа Hello отсутствует как таковая. Я делал два ноута, один более свежий Lenovo X1, там сканер завелся без вопросов и лишних телодвижений, второй — более старый Dell Vostro, там — этого пункта просто нет

        VA:F [1.9.22_1171]
        Rating: 0 (from 0 votes)
        1. Как утверждают Dell, функциональные возможности Windows Hello должны нормально работать на следующих моделях Vostro: Vostro 2420, Vostro 2421, Vostro 2520, Vostro 2521, Vostro 3360, Vostro N3445, Vostro N3446, Vostro N3449, Vostro 3458, Vostro 3460, Vostro 3546, Vostro 3549, Vostro 3558, Vostro 3560, Vostro 5460, Vostro 5470, Vostro 5480, Vostro 5560.
          Прочие модели не были протестированы самой компанией и их драйвера не были обновлены для поддержки Windows Hello.

          VN:F [1.9.22_1171]
          Rating: 0 (from 0 votes)
  2. Я вижу здесь две возможные причины:
    1. Если ноутбук в домене, то необходима политика, разрешающая Windows Hello. по умолчанию 9в доменах уровня 2012 и ниже) она запрещена.
    2. Возможность входа по отпечатку пальцев в недоменной Windows 10 появляется после создания пин-кода. т.е. сначала нужно создать пин-код. и только потом станет доступен пункт меню для добавления отпечатка пальца.

    VA:F [1.9.22_1171]
    Rating: 0 (from 0 votes)

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *