При очередном включении компьютера или ноутбука вас может встретить сообщение: «Возникла проблема. Ваш PIN-код недоступен. Щелкните, чтобы снова настроить ПИН-код». Иногда нажатие «Настроить свой PIN-код» позволяет заново создать его, но чаще вы снова возвращаетесь в это же окно.
В этой пошаговой инструкции подробно о том, что делать, если ПИН-код недоступен, чтобы исправить ситуацию и зайти в Windows 10 или Windows 11.
Решение проблемы, если отображается пункт «Параметры входа»
Если ниже сообщения о том, что ваш PIN-код недоступен есть ссылка «Параметры входа», можно нажать по ней, а затем войти в систему, используя пароль учётной записи Майкрософт, при условии, что вы его помните. Если нет — далее поговорим и о сбросе пароля.
После входа в Windows с паролем, можно начать решать проблемы с ПИН-кодом. Рекомендуемые шаги для рассматриваемого сценария:
- Нажмите правой кнопкой мыши по кнопке «Пуск», выберите пункт «Выполнить», введите services.msc и нажмите Enter.
- Откроется список служб. Найдите в списке «Изоляция ключей CNG» и дважды нажмите по имени службы.
- Если тип запуска службы установлен в «Отключена», измените на «Вручную», примените настройки и перезагрузите компьютер — это должно исправить проблему и описанные далее шаги использовать не требуется.
- Если тип запуска службы установлен правильно (Вручную), попробуйте использовать точки восстановления системы на дату, когда проблемы не было. Об этом в инструкциях Точки восстановления Windows 11, Точки восстановления Windows 10.
- При отсутствии точек восстановления, есть ещё один подход: удалите содержимое системной папки
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC
но учитывайте, что это удалит ПИН-коды всех пользователей компьютера. Удалить её в проводнике не получится, вместо этого, запустите командную строку от имени администратора и по порядку введите следующие команды:
takeown /f C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC /r /d y icacls C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC /grant Администраторы:F /t RD /S /Q C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc MD C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc icacls C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /T /Q /C /RESET
После удаления содержимого папки и перезагрузки компьютера вам могут предложить заново создать ПИН-код, либо его можно будет создать вручную в параметрах учетных записей в пункте «Варианты входа».
Как исправить ошибку «Возникла проблема ПИН-код недоступен», если параметры входа не отображаются
Если выбор варианта входа с паролем вместо ПИН-кода недоступен, можно использовать следующий способ решить проблему (внимание: если проблема возникла после включения опции Диагностический запуск в msconfig, используйте отдельную инструкцию):
- На экране блокировки нажмите по изображенной в правом нижнем углу кнопки «Питания», а затем, удерживая клавишу Shift нажмите «Перезагрузка».
- После перезагрузки вы попадете в среду восстановления Windows 10 или Windows Перейдите в раздел Поиск и устранение неисправностей — Дополнительные параметры.
- Здесь в первую очередь я рекомендую попробовать использовать пункт «Восстановление системы» — при наличии точек восстановления вы быстро сможете вернуть компьютер к состоянию, когда вход с ПИН-кодом работал исправно.
- Если предыдущий вариант не подошел, откройте пункт «Командная строка», а затем введите команду regedit и нажмите Enter.
- Откроется редактор реестра. В нём выберите раздел HKEY_LOCAL_MACHINE, а затем в меню выберите «Файл» — «Загрузить куст» и укажите путь к файлу
C:\Windows\System32\config\SYSTEM
Внимание: буква системного диска в среде восстановления может отличаться, кроме этого, может быть несколько дисков, содержащих такую папку. Убедитесь, что файл открывается с того диска, где у вас по факту установлена Windows (определить можно, например, по размеру этого диска).
- Появится запрос о назначении имени для загруженного куста — задайте любое удобное вам. В результате внутри раздела реестра HKEY_LOCAL_MACHINE появится подраздел с заданным вами именем.
- В этом подразделе перейдите в
ControlSet001\Services\KeyIso
и обратите внимание на значение параметра с именем Start в правой панели. Если его значение отличается от 3, дважды нажмите по параметру, установите значение 3, примените настройки. Если значение уже такое, перейдите к 10-му шагу.
- Выберите подраздел реестра с заданным вами на 6-м шаге именем, а затем в меню редактора реестра выберите в меню «Файл» — «Выгрузить куст» и подтвердите выгрузку сделанных изменений.
- Закройте редактор реестра, командную строку и перезагрузите компьютер — ПИН-код Windows 10 или Windows 11 должен работать.
- Если на 7-м шаге значение параметра уже равно 3, можно закрыть редактор реестра, а затем удалить ПИН-код в командной строке, используя по порядку следующие команды (при необходимости измените букву диска C на актуальную букву системного раздела диска):
takeown /f C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC /r /d y icacls C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC /grant Администраторы:F /t RD /S /Q C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc MD C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc icacls C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Ngc /T /Q /C /RESET
После этого можно закрыть командную строку, перезагрузить компьютер. В результате вам будет предложено либо зайти с паролем, либо создать ПИН-код сразу после ввода пароля учетной записи Майкрософт.
Сброс пароля, удаление ПИН-кода и перевод учетной записи в «Локальную»
Если предыдущие способы не помогают попасть в систему, либо вы не помните пароль учётной записи Майкрософт, вы можете использовать LiveCD для того, чтобы сбросить пароль учетной записи, конвертировать её из учетной записи Майкрософт в локальную, что автоматически отключит использование ПИН-кода для этого аккаунта.
- Используя какой-либо другой компьютер, загрузите образ ISO WinPE Sergei Strelec с сайта sergeistrelec.ru и запишите его на флешку, например, с помощью Rufus.
- Загрузитесь с созданной флешки (может потребоваться отключить Secure Boot в BIOS) на компьютере, где ПИН-код недоступен, в меню «Пуск» перейдите в раздел «Программы WinPE» — «Сброс паролей» и запустите утилиту Windows Login Unlocker.
- В списке учетных записей нажмите правой кнопкой мыши по учетной записи, в которую не получается войти и выберите пункт «Reset password» (для сброса/удаления пароля) или «Change password» (для изменения пароля).
- Появится запрос, с сообщением о том, что это учетная запись Майкрософт и она будет преобразована в локальную учетную запись — нажмите Ок.
После выполнения указанных действий вы получите сообщение о том, что пароль был успешно сброшен, утилиту можно закрыть и загрузиться с обычного жесткого диска или SSD — без пароля или с установленным вами паролем.
Если создание загрузочной флешки в текущей ситуации невозможно, есть ещё один вариант: используйте 2-й способ из статьи Как включить скрытую учетную запись Администратора в Windows 11 (подойдет и для Windows 10), затем зайдите в эту учетную запись и уже из неё выполняйте управление пользователями для исправления проблемы.
Использование традиционного пароля при входе в учётную запись Windows не является единственным способом авторизации. В Windows 10 и 11 для входа в систему также может использоваться графический пароль, ключ безопасности и пин-код — привязанный к основному паролю четырёхзначный код. Использование пин-кода существенно упрощает процедуру авторизации, но только при условии, что отвечающие за данный способ авторизации компоненты работают нормально. В противном случае пользователь может столкнуться с серьёзными проблемами, вплоть до невозможности входа в учётную запись.
Примером может служить ошибка входа в учётную запись «Возникла проблема. Ваш ПИН-код недоступен». При этом пользователю предлагается настроить свой пин-код повторно, но ссылка на настройку опции не работает.
Чаще всего причиной появления этой ошибки становится отключение пользователем из соображений оптимизации важных служб, например, службы изоляции ключей CNG. К ошибке может привести бездумное применение программ-твикеров, повреждение системных файлов, сбои в конфигурации пользователя, действия вредоносного программного обеспечения. Соответственно, вероятность удачного восстановления функции будет зависеть от того, насколько серьёзной является причина ошибки.
Если вы не можете войти в систему с пин-кодом, попробуйте войти с обычным паролем. Нажмите на экране с ошибкой «Параметры входа», кликните по значку ключа и введите в поле свой пароль.
Если вход будет выполнен удачно, первым делом зайдите в оснастку «Службы» и проверьте состояние службы «Изоляция ключей CNG». Она должна выполняться и иметь тип запуска «Вручную» или «Автоматический». Если её настройки отличаются от указанных, измените их.
Если вы до этого отключали и другие службы, включите их. Перезагрузите компьютер и попробуйте войти в систему с использованием пин-кода.
Восстановить доступ к учётной записи можно также удалив файлы конфигурации пин-кода, но так как с экрана входа в систему у вас не будет доступа к Проводнику, компьютер придётся загрузить с LiveCD, например, с WinPE 10-8 Sergei Strelec. Перейдите во встроенном в LiveCD файловом менеджере в расположение
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGCи очистите содержимое последнего каталога.
Загрузившись в обычном режиме, вы попадёте на рабочий стол с формой для ввода обычного пароля. Если на компьютере имеется другая учётная запись, вместо LiveCD для доступа к папке NGC можете использовать её, но это тоже не очень удобное решение, так как оно связано с необходимостью изменения прав доступа. Да, после очистки папки NGC пин-код нужно будет создать заново.
Если вам не удаётся войти с использованием обычного пароля, потребуется его сброс. Для этих целей опять же используем WinPE 10-8 Sergei Strelec, точнее, входящие в его состав утилиты Windows Login Unlocker, Active Password Changer PCUnlocker или Simplix Password Reset. При сбросе основного пароля будет удалён и пин-код, причём не имеет значения, какой тип учётной записи вы используете (локальную или Microsoft).
Если устранить ошибку описанными выше способами не удаётся, есть вероятность, что неполадка вызвана либо повреждением системных файлов, либо отключением некоторых критически важных служб. В таком случае может помочь откат системы к точке восстановления, созданной на момент нормальной работы Windows. Для выполнения отката придётся загрузиться в среду восстановления. Для этого на экране входа в систему открываем меню электропитания и перезагружаем компьютер с зажатой клавишей Shift.
Попав в среду восстановления, перейдите по цепочке Диагностика → Дополнительные параметры → Восстановление системы и запустите процедуру отката к точке восстановления.
В случае проблем с доступом к функции, используйте для входа в среду WinPE установочный диск с Windows. Выберите Поиск и устранение неисправностей → Восстановление системы и проследуйте указаниям мастера. Откат восстановит значительную часть критически важных файлов и вернёт службы в их исходное состояние, обеспечив тем самым нормальную работу функции входа в учётную запись.
Пароль учётной записи — одна из тех вещей, о которых все знают, но продолжают ими пренебрегать. Специально для тех, кому лень всякий раз вводить свой пароль в Windows 10, Microsoft добавила новую функцию защиты с помощью ПИН-кода. Это своеобразный компромисс между безопасностью и удобством.
А это вообще безопасно?
Как уже сказано выше, ПИН-код — это золотая середина между безопасностью и удобством. Да, этот вариант защиты менее надёжен, чем, скажем, авторизация по отпечатку пальца или скану сетчатки. Но если вы не хотите тратиться на дополнительные устройства, то ПИН-код будет идеальным вариантом.
Во-первых, ввести ПИН-код получится гораздо быстрее, чем использовать любой другой способ авторизации. Во-вторых, в отличие от защиты паролем, злоумышленники получат доступ только к конкретному компьютеру, а не ко всем вашим устройствам, если всё-таки узнают ПИН-код.
Как включить
Включить эту замечательную функцию так же просто, как и использовать её. Отправляемся в меню «Пуск» → «Параметры» → «Учётные записи» → «Параметры входа». Находим раздел «ПИН-код» и жмём «Добавить».
Нас попросят подтвердить личность, введя пароль учётной записи, затем предложат добавить ПИН-код. Возможное количество символов превышает все разумные пределы — я пробовал 20-значный пароль, но вряд ли кто-то станет так заморачиваться.
С этого момента при включении компьютера, выходе из режима сна и в иных ситуациях, когда потребуется авторизация, наряду с паролем учётной записи вы сможете использовать ПИН-код.
Как изменить
Если возникнет необходимость сменить ПИН-код, то делается всё в том же меню. Знакомая нам кнопка «Добавить» сменится на «Изменить», с помощью которой мы сможем задать новый ПИН-код после ввода старого.
Как сбросить
Вы забыли ПИН-код, с кем не бывает. Не беда: логинимся с помощью пароля учётной записи и в меню «Параметры входа», в разделе «ПИН-код», жмём на «Я не помню свой ПИН-код». Здесь, подтвердив свою личность с помощью пароля, мы можем задать новый ПИН-код.
Как отключить
Отключение ПИН-кода — не совсем очевидный момент, но и здесь, если знать, всё достаточно просто. Чтобы убрать ПИН-код, нужно пройти процедуру сброса из предыдущего пункта, но вместо ввода нового ПИН-кода просто нажать на кнопку «Отмена».
Applies ToWindows 11 Windows 10
ПИН-код — это определяемый пользователем набор чисел или сочетание цифр и букв, который позволяет войти в Windows вместо пароля.
Пин-код надежно хранится на устройстве, он нигде не передается и не хранится на сервере. Это делает его более безопасным, чем традиционный пароль.
Если вы хотите изменить ПИН-код или сбросить его, у вас есть другие варианты.
Сброс ПИН-кода, если вы не вошли в систему
Если вы забыли СВОЙ ПИН-код и вам нужно сбросить его, это можно сделать на экране входа в Windows. Посмотрите под текстовым полем ПИН-код:
-
Если параметр Я забыл свой ПИН-код доступен, выберите его и следуйте инструкциям, чтобы сбросить ПИН-код. Если на устройстве используется несколько учетных записей, выберите учетную запись для сброса. Этот параметр доступен только для учетных записей Майкрософт, но не для локальных учетных записей.
-
Если параметр Я забыл свой ПИН-код недоступен, необходимо войти с помощью пароля, а затем сбросить ПИН-код из приложения «Параметры». Выберите Параметры входа, а затем введите пароль.
Изменение или сброс ПИН-кода, когда вы уже вошли в систему
Вы можете использовать приложение «Параметры», чтобы изменить ПИН-код.
-
В приложении «Настройки» на устройстве с Windows, выберите Учетные записи > параметры входа или воспользуйтесь следующим сочетанием клавиш:
Параметры входа
-
Выберите ПИН-код (Windows Hello) > Изменить ПИН-код, а затем следуйте инструкциям. Чтобы перейти на новый, необходимо ввести старый ПИН-код.
-
Если вы забыли ПИН-код, выберите Я забыл свой ПИН-код и следуйте инструкциям, чтобы проверить свою учетную запись и создать новую.
Примечание: PIN-код, который вы используете для доступа к устройству, отличается от пароля вашей учетной записи Microsoft. Если вам нужно сбросить пароль учетной записи Майкрософт, см. статью Изменение пароля учетной записи Майкрософт .
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
В подборках нововведений версии 20H1 можно было услышать примерно такую песню:
Теперь проще выполнить беспарольный вход в систему при помощи идентификации лица, отпечатка пальца или PIN-кода. Просто разрешите в настройках идентификацию при помощи Windows Hello.
Вряд ли автор понимает, о чем он пишет. Поэтому вполне объяснима реакция участника чата инсайдеров на такую формулировку.
Между тем, я недавно рассказывал в блоге про эту фичу, но фокусировался на решении проблемы с исчезновением настройки автоматического входа. Сегодня я продолжу тему и постараюсь расставить точки над i.
Как обычно, термины учетная запись Microsoft, аккаунт Microsoft и MSA обозначают одно и то же.
[+] Сегодня в программе
История вопроса
Беспарольный вход впервые появился в декабре 2018 года в сборке 18305, когда реализовали возможность добавлять в систему имеющуюся учетную запись Microsoft без пароля.
В Параметрах упоминание о беспарольном входе появилось в июле 2019 года в сборке 18936.
В октябрьской сборке 18995 сделали еще один шаг – вход с ПИН-кодом в безопасный режим. Так убрали последнее препятствие к полностью беспарольной аутентификации в ОС Windows.
В финальной версии 20H1 название фичи в параметрах изменилось. Беспарольный вход исчез из заголовка, уступив место Windows Hello.
Читатели со стажем помнят Microsoft Passport, систему аутентификации Microsoft. В начале пути Windows 10 она входила в состав системы. Позже компания объединила технологию с Windows Hello.
Windows Hello
Это современная система аутентификации Microsoft, которая привязана к устройству, построена на двухфакторной или двухэтапной аутентификации и заменяет пароли. С помощью Hello можно входить в:
- аккаунты Active Directory и Azure Active Directory (Windows Hello for Business)
- учетную запись Microsoft
- сервисы, поддерживающие FIDO2
Контекст этой статьи – домашняя среда, поэтому дальше речь пойдет про последние два пункта.
Регистрация аккаунта Microsoft на устройстве и вход в систему
Вход в учетную запись Microsoft с Windows Hello на устройстве с Windows 10 осуществляется только с помощью ПИН-кода и биометрии.
Пароль в сферу Hello не входит.
При регистрации аккаунта Microsoft на устройстве ПИН-код, идентификатор лица и отпечаток пальца защищаются парой криптографических ключей, которые генерируются аппаратно при наличии TPM 2.0 или программно.
Для регистрации MSA на устройстве требуется двухэтапная аутентификация, в т.ч. возможна беспарольная. Сервер Microsoft получает публичный ключ и ассоциирует его с аккаунтом пользователя, таким образом устанавливаются доверительные отношения.
Когда вы смотрите в камеру или проводите пальцем по сканеру отпечатков, полученные данные сверяются с ключами Hello. При успехе вы получаете токен аутентификации на вход в систему и доступ к сервисам с аккаунта компании на этом устройстве.
Назначение аппаратного ключа
С помощью аппаратного ключа FIDO2 можно входить без ввода пароля с зарегистрированной на устройстве учетной записью Microsoft на сайты и в приложения. Это финализировали в версии 1809, и в анонсе есть хорошее описание принципа аутентификации с ключом.
В Windows 10 аппаратный ключ можно задействовать при регистрации аккаунта Microsoft на устройстве, после чего входить в MSA с помощью Hello, т.е. ПИН-кода или биометрии.
Однако нельзя просто воткнуть флэшку и войти в учетную запись Microsoft на устройстве с Windows 10. Это работает только с аккаунтами Azure Active Directory, в т.ч. для Hybrid Azure AD.
В параметрах есть ссылка на KB4468253, где в частности говорится: аппаратный ключ используется в дополнение к ПИН-коду или биометрии, поэтому владеющий только ключом человек не сможет выполнить вход в аккаунт. Подтекст такой, что сначала надо выполнить вход в систему с Windows Hello, т.е. аутентификация двухфакторная.
Вы знаете ПИН-код или обладаете биологической особенностью (лицо, отпечаток пальца) и владеете ключом.
Конечно, если вы вошли в систему с Hello и оставили ПК без присмотра, злоумышленник может вставить ключ и авторизоваться с вашей MSA на сайте.
Как создать учетную запись Microsoft без пароля
Беспарольный аккаунт Microsoft создается с номером телефона, нежели с заданным вами адресом электронной почты. В интернетах мне попадались инструкции о том, как это сделать в Windows 10, но их авторы явно не пробовали пройти процесс 
Создать учетную запись Microsoft без пароля можно только в сторонних мобильных ОС 🙈
В Android и iOS в приложениях Microsoft Office (Word, Excel, Office и т.д.) вы можете создать MSA, указывая номер телефона. Если при попытке входа система определяет, что такого аккаунта нет, она предлагает создать новый. Пароль не требуется, а создание учетной записи подтверждается кодом в SMS.
Затем вы можете (и я рекомендую) использовать вместо SMS беспарольную 2FA в приложении Microsoft Authenticator.
Если же создавать MSA на сайте Microsoft https://signup.live.com/ или в параметрах Windows 10, указывая номер телефона, система требует задать пароль.
Причину эксклюзивности мобильных ОС объяснил мне в Твиттере глава подразделения Microsoft Identity.
Most laptops/PCs can’t receive an SMS code. So we see a lot of drop off in user success when a phone is required to complete a flow from a PC.
— Alex Simons (@Alex_A_Simons) August 11, 2020
Видимо, значительный процент людей пытается вводить несуществующие номера телефонов или домашние номера, куда SMS не проходит ¯\_(ツ)_/¯
Однако если учетная запись Microsoft без пароля уже создана, начиная с версии 1903, вы можете добавить ее на устройство уже во время установки Windows. После установки это можно сделать в Параметры – Учетные записи в разделах:
- Ваши данные — при переключении с локального аккаунта на свою MSA
- Семья и другие пользователи – при создании аккаунта для другого человека или отдельного профиля для своей MSA
Как я объяснил выше, учетная запись Microsoft регистрируется на устройстве при первой успешной аутентификации, а дальше вы входите в систему с Hello.
При желании вы можете задать пароль в настройках безопасности аккаунта. Адрес электронной почты добавляется там же в настройках профиля, но об этом Windows 10 вам будет напоминать сама.
Ключевая особенность беспарольного входа в версии 20H1+
Сводка изменений в двух версиях Windows 10 такова:
- 1903 — можно использовать на устройстве с Windows 10 аккаунт [Microsoft], требующий аутентификации, но не имеющий пароля в принципе
- 20H1 — можно отключить вход с паролем в учетную запись Microsoft, а также входить с ПИН-кодом в безопасный режим
Теперь можно вернуться к началу статьи и недоуменной реакции на нововведения у людей, которые в ноутбуках входили в аккаунт с помощью биометрии еще лет дцать назад, благодаря ПО и драйверам вендоров.
Ранее биометрический вход существовал наряду с парольным, даже если сам пароль был пустой. Равно как в такой аккаунт всегда можно было войти с паролем. Теперь, создав MSA без пароля или включив беспарольный вход, вы входите только с ПИН-кодом и биометрией.
В этом и заключается отличие от предыдущих версий Windows 10, более старых ОС Windows и решений вендоров.
Преимущества беспарольного входа и MSA без пароля
Я недавно проводил опрос и выяснил, что MSA в Windows 10 используют меньше половины людей даже в самой прогрессивной группе моей аудитории. Поэтому большинству читателей до беспарольных аспектов еще далеко. Впрочем, они и не сулят потребителям манны небесной.
- Требование Windows Hello. Поскольку Hello привязано к устройству, пароль не передается по сети. Такой подход укрепляет безопасность, но здесь основные бенефициары – организации, а домашним пользователям это ничего не дает.
- Учетная запись Microsoft без пароля. Если у вас нет пароля, вы его не забудете, равно как не сольете случайно посторонним лицам, например, попав под фишинговую атаку. Тут кроме пользы нет вреда, но нельзя терять контроль над номером телефона.
Подводные камни беспарольного входа
Есть несколько аспектов, которые вам надо учитывать, форсируя вход с Windows Hello и/или используя аккаунт Microsoft без пароля.
Невозможен автоматический вход в систему
Применимо к: требование входа с Hello / беспарольная MSA
Это я разбирал в прошлой статье в контексте форсирования входа с Hello. Если оно выключено, у беспарольной MSA ожидаемо есть возможность настройки автоматического входа. Но там надо задавать пароль, в т.ч. пустой, которого у аккаунта нет в принципе.
Недоступен вход с графическим паролем
Применимо к: требование входа с Hellо / беспарольная MSA
Первое логично следует из отключения парольного входа, а у второго нет никаких паролей в вариантах входа вне зависимости от того, требуется Hello для входа или нет.
Невозможно удаление ПИН-кода
Применимо к: требование входа с Hello / беспарольная MSA
На форум пришел человек, у которого была неактивна кнопка удаления. Нестыковка коллекционная, конечно, хотя вполне объяснимая.
Логика такова: если ломается сканер отпечатков и/или камера, ПИН-код – единственный способ входа без пароля.
Невозможен вход в локальную среду восстановления
Применимо к: беспарольная MSA
В отличие от безопасного режима, в среду восстановления с ПИН-кодом не войти. Для доступа к опциям восстановления (удаление исправлений) и диагностическим инструментам Windows RE (командная строка) требуется пароль администратора. Поэтому войти в беспарольную учетную запись Microsoft не получится, даже если вы переключились на нее с локального аккаунта, у которого пароль был установлен.
На картинке видно, что изначально использовался локальный аккаунт Admin, который я переключил на беспарольную MSA. Пароль от Admin ожидаемо не подходит.
В качестве обходного пути можно загрузиться в RE с установочной флэшки – в этом случае пароль администратора не запрашивается.
Еще одна неочевидная альтернатива – шифрование диска BitLocker, в том числе автоматическое. При входе в локальную RE требуется ввести 48-значный пароль восстановления, после чего экран с выбором администратора и вводом пароля уже не появляется.
Невозможно подключение по RDP или вход в сетевую папку
Применимо к: беспарольная MSA / MSA с паролем при беспарольной регистрации
У этих граблей два варианта.
Беспарольная MSA
Подключение по RDP и вход в сетевую папку подразумевают парольную аутентификацию, а для беспарольной MSA просто нечего указывать в качестве пароля. Однако по RDP можно подключиться к имеющей пароль MSA, даже если требование Hello включено, т.е. локальный вход с паролем невозможен.
MSA с паролем при беспарольной регистрации на устройстве
Проблема возникает, если добавление MSA на устройство проводится без ввода пароля, т.е. аутентификация выполняется по уведомлению в приложении Microsoft Authenticator. В этом случае Windows не с чем сравнить пароль, который вы вводите при подключении по RDP или входе в сетевую папку. Решение я опубликовал в своем канале Telegram.
Примечание. При использовании MSA с паролем вы можете столкнуться с проблемой подключения к ВМ на Hyper-V в режиме расширенного сеанса.
Литература (EN)
- Windows Hello for Business
- Why a PIN is better than a password
- Building a world without passwords
- Advancing Windows 10 as a passwordless platform
- Secure password-less sign-in for your Microsoft account using a security key or Windows Hello
Заключение
Несколько лет назад Microsoft взяла курс на беспарольную аутентификацию и с тех пор следует ему. Windows Hello отлично сочетается с облачными сервисами компании (Azure AD) и даже укрепляет безопасность традиционной инфраструктуры.
Домашним пользователям перепадает с корпоративного стола, но для них беспарольная технология еще не обрела законченный вид. С другой стороны, большинство людей до сих пор использует пароли Qwert321 для всех аккаунтов, сторонится MSA, двухфакторной аутентификации и прочих решений, защищающих учетные записи и личные данные.
Наверное, со временем беспарольные аккаунты станут мейнстримом, но для этого также понадобятся усилия Apple, Google и множества других компаний.
Конкретных дискуссионных тем я сегодня не предлагаю. Статья разъясняет технические нюансы, не играя на эмоциях, а MSA мы обсуждали в прошлый раз. Однако ваши вопросы и мысли по теме я всегда рад видеть в комментариях!