Почему ПИН-код лучше пароля Why a PIN is better than a password

В данной статье показаны действия, с помощью которых можно установить, изменить или удалить ПИН-код для учетной записи в операционной системе Windows 10.

Операционная система Windows 10 предлагает пользователям несколько вариантов входа в учетную запись: стандартный логин и пароль, вход с помощью учетной записи Microsoft, с помощью ПИН-кода или графического пароля, а при наличии соответствующего оборудования доступна технология Windows Hello. В этой статье показан способ защиты учетной записи с помощью ПИН-кода.

Вход с помощью ПИН-кода намного проще, чем ввод сложного пароля (просто нужно указать четыре символа, и вы уже в системе) и явно рассчитан на пользователей планшетов. Конечно, он не обеспечивает надежной защиты, но в качестве временного решения в общественных местах и корпоративных средах вполне подойдет. Даже если у вас нет планшета, вы также можете воспользоваться входом с помощью ПИН-кода на компьютере или ноутбуке.

При загрузке в безопасном режиме, войти в систему можно только с помощью пароля – все остальные параметры входа будут недоступны

Содержание

Как установить ПИН-код в Windows 10

Чтобы установить ПИН-код, нажмите на панели задач кнопку Пуск и далее выберите Параметры или нажмите на клавиатуре сочетание клавиш + I.

В открывшемся окне «Параметры Windows» выберите Учетные записи.

Выберите вкладку Варианты входа, и в правой части окна выберите ПИН-код для Windows Hello и нажмите кнопку Добавить.

В открывшемся окне ведите пароль своей учетной записи и нажмите кнопку OK.

Затем дважды введите новый ПИН-код и нажмите кнопку OK.

После этого ПИН-код будет установлен, и чтобы проверить его, заблокируйте Windows нажав сочетание клавиш + L и затем попробуйте войти в систему с помощью созданного ПИН-кода.

Как изменить ПИН-код в Windows 10

Чтобы изменить ПИН-код, нажмите на панели задач кнопку Пуск и далее выберите Параметры или нажмите на клавиатуре сочетание клавиш + I.

В открывшемся окне «Параметры Windows» выберите Учетные записи.

Выберите вкладку Варианты входа, и в правой части окна выберите ПИН-код для Windows Hello и нажмите кнопку Изменить.

Затем введите действующий ПИН-код и потом дважды введите новый ПИН-код, после чего нажмите кнопку OK.

После этого ПИН-код будет изменён.

Как сбросить ПИН-код для установки нового

Чтобы сбросить ПИН-код для установки нового, нажмите на панели задач кнопку Пуск и далее выберите Параметры или нажмите на клавиатуре сочетание клавиш + I.

В открывшемся окне «Параметры Windows» выберите Учетные записи.

Выберите вкладку Варианты входа, и в правой части окна выберите ПИН-код для Windows Hello и нажмите на ссылку Я не помню свой ПИН-код

В открывшемся окне введите пароль своей учетной записи и нажмите кнопку OK.

Затем дважды введите новый ПИН-код и нажмите кнопку OK.

Как удалить ПИН-код в Windows 10

Чтобы удалить ПИН-код, нажмите на панели задач кнопку Пуск и далее выберите Параметры или нажмите на клавиатуре сочетание клавиш + I.

В открывшемся окне «Параметры Windows» выберите Учетные записи.

Выберите вкладку Варианты входа, и в правой части окна выберите ПИН-код для Windows Hello и нажмите кнопку Удалить.

В открывшемся окне введите пароль своей учетной записи и нажмите кнопку OK.

После этого ПИН-код будет удалён.

Используя рассмотренные выше действия, можно установить, изменить или удалить ПИН-код в операционной системе Windows 10.

А это вообще безопасно?

Как уже сказано выше, ПИН-код — это золотая середина между безопасностью и удобством. Да, этот вариант защиты менее надёжен, чем, скажем, авторизация по отпечатку пальца или скану сетчатки. Но если вы не хотите тратиться на дополнительные устройства, то ПИН-код будет идеальным вариантом.

Во-первых, ввести ПИН-код получится гораздо быстрее, чем использовать любой другой способ авторизации. Во-вторых, в отличие от защиты паролем, злоумышленники получат доступ только к конкретному компьютеру, а не ко всем вашим устройствам, если всё-таки узнают ПИН-код.

Как включить

Включить эту замечательную функцию так же просто, как и использовать её. Отправляемся в меню «Пуск» → «Параметры» → «Учётные записи» → «Параметры входа». Находим раздел «ПИН-код» и жмём «Добавить».

Нас попросят подтвердить личность, введя пароль учётной записи, затем предложат добавить ПИН-код. Возможное количество символов превышает все разумные пределы — я пробовал 20-значный пароль, но вряд ли кто-то станет так заморачиваться.

С этого момента при включении компьютера, выходе из режима сна и в иных ситуациях, когда потребуется авторизация, наряду с паролем учётной записи вы сможете использовать ПИН-код.

Как изменить

Если возникнет необходимость сменить ПИН-код, то делается всё в том же меню. Знакомая нам кнопка «Добавить» сменится на «Изменить», с помощью которой мы сможем задать новый ПИН-код после ввода старого.

Как сбросить

Вы забыли ПИН-код, с кем не бывает. Не беда: логинимся с помощью пароля учётной записи и в меню «Параметры входа», в разделе «ПИН-код», жмём на «Я не помню свой ПИН-код». Здесь, подтвердив свою личность с помощью пароля, мы можем задать новый ПИН-код.

Как отключить

Отключение ПИН-кода — не совсем очевидный момент, но и здесь, если знать, всё достаточно просто. Чтобы убрать ПИН-код, нужно пройти процедуру сброса из предыдущего пункта, но вместо ввода нового ПИН-кода просто нажать на кнопку «Отмена».

–>

Область примененияApplies to

• Windows 10Windows10

Windows Hello в Windows 10 позволяет пользователям войти на свое устройство с помощью ПИН-кода.Windows Hello in Windows10 enables users to sign in to their device using a PIN.В чем заключаются отличия ПИН-кода от пароля и его преимущества?How is a PIN different from (and better than) a password?На первый взгляд, ПИН-код во многом аналогичен паролю.On the surface, a PIN looks much like a password.ПИН-код может представлять собой набор цифр, однако политикой предприятия может быть разрешено использование сложных ПИН-кодов, содержащих специальные знаки и буквы как в верхнем, так и в нижнем регистре.A PIN can be a set of numbers, but enterprise policy might allow complex PINs that include special characters and letters, both upper-case and lower-case.Например, значение t758A!Something like t758A!может использоваться в качестве пароля учетной записи или сложного ПИН-кода в Hello.could be an account password or a complex Hello PIN.Преимущества ПИН-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы.It isn’t the structure of a PIN (length, complexity) that makes it better than a password, it’s how it works.

Посмотрите, как Дана Гуанг объясняет, почему ПИН-код Windows Hello для бизнеса более безопасный, чем пароль.Watch Dana Huang explain why a Windows Hello for Business PIN is more secure than a password.

ПИН-код привязан к устройствуPIN is tied to the device

Важным различием между паролем и ПИН-кодом Hello является привязка ПИН-кода к конкретному устройству, на котором он был задан.One important difference between a password and a Hello PIN is that the PIN is tied to the specific device on which it was set up.ПИН-код не может использоваться без конкретного оборудования.That PIN is useless to anyone without that specific hardware.Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи ПИН-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству.Someone who steals your password can sign in to your account from anywhere, but if they steal your PIN, they’d have to steal your physical device too!

Даже сам пользователь сможет выполнить вход с помощью ПИН-кода только на конкретном устройстве.Even you can’t use that PIN anywhere except on that specific device.Чтобы выполнять вход на нескольких устройствах, потребуется настроить Hello на каждом из них.If you want to sign in on multiple devices, you have to set up Hello on each device.

ПИН-код хранится на устройстве локальноPIN is local to the device

Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера.A password is transmitted to the server — it can be intercepted in transmission or stolen from a server.ПИН-код задается на устройстве на локальном уровне, не передается и не хранится на сервере.A PIN is local to the device — it isn’t transmitted anywhere and it isn’t stored on the server.При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности.When the PIN is created, it establishes a trusted relationship with the identity provider and creates an asymmetric key pair that is used for authentication.При вводе ПИН-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности.When you enter your PIN, it unlocks the authentication key and uses the key to sign the request that is sent to the authenticating server.

Примечание

Подробную информацию об использовании пар ассиметричных ключей для проверки подлинности в Hello см. в разделе Windows Hello для бизнеса.For details on how Hello uses asymetric key pairs for authentication, see Windows Hello for Business.  

ПИН-код поддерживается оборудованиемPIN is backed by hardware

ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования.The Hello PIN is backed by a Trusted Platform Module (TPM) chip, which is a secure crypto-processor that is designed to carry out cryptographic operations.Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM.The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM.Все телефоны Windows 10 Mobile и множество современных ноутбуков имеют TPM.All Windows10 Mobile phones and many modern laptops have TPM.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками.User key material is generated and available within the Trusted Platform Module (TPM) of the user device, which protects it from attackers who want to capture the key material and reuse it.Так как Hello использует пары асимметричных ключей, учетные данные пользователей не могут быть украдены в случаях, когда поставщик удостоверений или веб-сайты, к которые пользователь получает доступ, были скомпрометированы.Because Hello uses asymmetric key pairs, users credentials can’t be stolen in cases where the identity provider or websites the user accesses have been compromised.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода.The TPM protects against a variety of known and potential attacks, including PIN brute-force attacks.После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется.After too many incorrect guesses, the device is locked.

ПИН-код может быть сложнымPIN can be complex

К ПИН-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и журнал изменений.The Windows Hello for Business PIN is subject to the same set of IT management policies as a password, such as complexity, length, expiration, and history.Несмотря на уверенность большинства пользователей в том, что ПИН-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики , предполагающие уровень сложности ПИН-кода, сопоставимый с паролем.Although we generally think of a PIN as a simple four-digit code, administrators can set policies for managed devices to require a PIN complexity similar to a password.Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры.You can require or block: special characters, uppercase characters, lowercase characters, and digits.

Что произойдет в случае кражи ноутбука или телефона?What if someone steals the laptop or phone?

Чтобы скомпрометировать учетные данные Windows Hello, защищенные TPM, злоумышленник должен иметь доступ к физическому устройству, а затем найти способ подмены биометрических данных пользователя или угадать свой ПИН-код. Все это необходимо сделать, прежде чем защита от взлома TPM заблокировит устройство.To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user’s biometrics or guess his or her PIN—and all of this must be done before TPM anti-hammering protection locks the device.Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему.You can provide additional protection for laptops that don’t have TPM by enabling BitLocker and setting a policy to limit failed sign-ins.

Настройка BitLocker без TPMConfigure BitLocker without TPM

1. С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

   Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы > Обязательная дополнительная проверка подлинности при запускеComputer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Require additional authentication at startup

2. В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК.In the policy option, select Allow BitLocker without a compatible TPM, and then click OK.

3. Перейдите в меню Панель управления > Система и безопасность > Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить.Go to Control Panel > System and Security > BitLocker Drive Encryption and select the operating system drive to protect.Установка порога блокировки учетной записиSet account lockout threshold

4. С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

   Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетных записей > Порог блокировки учетной записиComputer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy > Account lockout threshold

5. Установите допустимое количество неудачных попыток входа в систему и нажмите кнопку “ОК”.Set the number of invalid logon attempts to allow, and then click OK.

Почему для использования биометрии нужен ПИН-код?Why do you need a PIN to use biometrics?

Windows Hello включает биометрический вход в Windows 10: отпечаток пальца, радужной оболочки радужной оболочки или распознавание лиц.Windows Hello enables biometric sign-in for Windows10: fingerprint, iris, or facial recognition.При первоначальной настройке Windows Hello предлагается создать ПИН-код.When you set up Windows Hello, you’re asked to create a PIN first.Этот PIN-код позволяет войти в систему с помощью ПИН-кода, если вы не можете использовать предпочтительный биометрический метод из-за повреждения или из-за недоступности или неправильной работы датчика.This PIN enables you to sign in using the PIN when you can’t use your preferred biometric because of an injury or because the sensor is unavailable or not working properly.

Если вы настроите только биометрические данные для входа в систему и не сможете по какой-либо причине выполнить вход с их использованием, вы должны будете ввести имя и пароль от учетной записи, что менее безопасно, чем вход с помощью Hello.If you only had a biometric sign-in configured and, for any reason, were unable to use that method to sign in, you would have to sign in using your account and password, which doesn’t provide you the same level of protection as Hello.

Статьи по темеRelated topics

–>

Всем известно, что всегда нужно использовать сложные и надежные пароли для того, чтобы обеспечить надежную безопасность своих персональных данных. И если такая тактика прекрасно сочетается для использования учетных записей Microsoft, то для простого использования, в домашних условиях, это далеко не всегда удобно. Поэтому, в операционной системе Windows 10, для входа можно использовать короткий PIN код, вместо длинного пароля.

Устанавливаем вход через PIN код в Windows 10

Через меню «Пуск» открываем Параметры системы и переходим к Учетным записям. Здесь нужно будет открыть вкладку «Параметры входа» и нажать на «Добавить» под разделом ПИН-код.

Вводим пароль своей учетной записи и затем повторяем его.

После чего придумайте четырехзначный ПИН-код и дважды введите его в нужные поля.

Как в Windows 10 изменить ПИН-код?

Все в том же разделе «Параметры входа» можно выполнить замену текущего ПИН-кода на новый. Для этого нажмите на «Изменить» под категорией «ПИН-код». Вам потребуется ввести текущий PIN и только потом можно будет дважды ввести новый. Затем, изменения подтверждаете нажатием на кнопку «ОК».

Как сбросить и удалить ПИН-код в Windows 10?

Иногда такое бывает, что забыли свой PIN код, но не беда — его можно легко сбросить и задать новый. Для этого, на вкладке Параметров входа, нужно нажать на кнопку «Не помню свой ПИН-код». Дальше, система попросит ввести пароль от учетной записи и только после этого можно будет указать новый ПИН-код.

Здесь же можно вообще удалить ПИН-код и отключить его использование и в дальнейшем для входа использовать только пароль учетной записи. Для этого, когда будете выполнять сброс ПИН-кода, в окошке ввода нового оставьте все поля пустыми и нажмите на кнопку Отмены.

Если вы выполняете чистую установку Windows 10 1803 (или обновление с предыдущей версии, как мне подсказывают в твиттере) и выбираете вход с учетной записью Microsoft (MSA), вы получите предложение создать ПИН-код, от которого невозможно отказаться. Решение спорное, и оно сразу породило возмущение в соцсетях.

Конечно, после установки ПИН-код можно удалить в Параметры — Учетные записи — Параметры входа, но есть интересный нюанс. При следующей загрузке системы на экране входа предлагается ввести пароль, но выделена опция входа с ПИН-кодом (красная стрелка), потому что прошлый вход был с ним.

И если при таком раскладе ввести пароль, то на следующем экране вас снова будут принуждать к созданию ПИН-кода, и вот это уже очень неудачный UX. Отказаться в итоге можно, но проще сразу выбрать вход с паролем.

Отзывы в Feedback Hub:

ПИН-код против пароля

Сам я регулярно использую ПИН-код, потому что у меня UAC на верхнем уровне и включена политика на запрос учетных данных, поэтому вводить пароль каждый раз утомительно. Ничего страшного или небезопасного в ПИН-коде нет, и дальше я тезисно продублирую то, что раньше писал в канале Telegram и ВК.

ПИН-код — не замена паролю

Хотя бы потому что без пароля его не создать. Для домашних пользователей с учетной записью Microsoft ПИН-код в первую очередь — удобство (и чем сложнее пароль, тем удобнее ПИН-код 🙂

Windows 10 не позволяет задавать слишком распространенные ПИН-коды

Это комбинации, в которых разность соседних цифр всегда одинаковая.

• Нельзя: 1111, 2345, 1357, 9630
• Можно: 1115, 2346, 1358, 9530

ПИН-код безопаснее в ряде сценариев

Он привязан к устройству, хранится только на нем, защищён TPM. Он не передается по сети в отличие от пароля, в чем и заключается один из главных аспектов безопасности [в организации]. Развернутое объяснение Microsoft здесь.

ПИН-код не ограничен четырьмя цифрами и допускает прочие символы

При желании вы можете его сделать таким же сложным, как свой пароль.

И если раньше это надо было включать политиками, то в какой-то момент (похоже, в 1709) флажок добавили прямо в диалог создания ПИН-кода.

Бонус: имя профиля в зависимости от типа учетной записи

Возвращаясь к вопросу чистой установки, тут есть еще один нюанс, который для кого-то окажется важнее ПИН-кода. При входе с MSA имя папки вашего профиля формируется на основе первых 5-6 символов почтового адреса. Например, если моя MSA sterkin@domain.com, то мой профиль будет sterk.

Обойти это можно созданием локальной (автономной) учетной записи с желаемым именем (допустим, Vadim), которую можно привязать к MSA после входа в систему. Впрочем, теперь для локального аккаунта заставляют придумывать контрольные вопросы 🙂 На них лучше давать ответы, не связанные с вопросами.

Если вы не предусмотрели такого сценария и получили нежелательное имя профиля, в KB2454362 вы найдете инструкции по смене имени учетной записи и соответственно названия папки профиля.

А вы пользуетесь ПИН-кодом или биометрией для входа в систему?

Как вы входите в свой основной домашний ПК с Windows 10?

• ПИН-код (41%, голосов: 308)
• Пароль (19%, голосов: 142)
• Пароля нет, автологон (12%, голосов: 89)
• Пароль есть, автологон (11%, голосов: 85)
• У меня не Windows 10 (10%, голосов: 77)
• Биометрия (отпечаток пальца, лицо) (6%, голосов: 48)
• Другое (смарт-карта, граф. пароль) (1%, голосов: 10)

Проголосовало: 759[архив опросов]

 Загрузка …Используемые источники:

• https://winnote.ru/security/220-kak-ustanovit-ili-izmenit-pin-kod-dlya-uchetnoy-zapisi-v-windows-10.html
• https://lifehacker.ru/pin-code-in-windows-10/
• https://docs.microsoft.com/ru-ru/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password
• https://prostocomp.net/bezopasnost/primenenie-pin-koda-v-windows-10-dlya-vxoda-v-uchetnuyu-zapis.html
• http://www.outsidethebox.ms/19045/