В подборках нововведений версии 20H1 можно было услышать примерно такую песню:
Теперь проще выполнить беспарольный вход в систему при помощи идентификации лица, отпечатка пальца или PIN-кода. Просто разрешите в настройках идентификацию при помощи Windows Hello.
Вряд ли автор понимает, о чем он пишет. Поэтому вполне объяснима реакция участника чата инсайдеров на такую формулировку.
Между тем, я недавно рассказывал в блоге про эту фичу, но фокусировался на решении проблемы с исчезновением настройки автоматического входа. Сегодня я продолжу тему и постараюсь расставить точки над i.
Как обычно, термины учетная запись Microsoft, аккаунт Microsoft и MSA обозначают одно и то же.
[+] Сегодня в программе
История вопроса
Беспарольный вход впервые появился в декабре 2018 года в сборке 18305, когда реализовали возможность добавлять в систему имеющуюся учетную запись Microsoft без пароля.
В Параметрах упоминание о беспарольном входе появилось в июле 2019 года в сборке 18936.
В октябрьской сборке 18995 сделали еще один шаг – вход с ПИН-кодом в безопасный режим. Так убрали последнее препятствие к полностью беспарольной аутентификации в ОС Windows.
В финальной версии 20H1 название фичи в параметрах изменилось. Беспарольный вход исчез из заголовка, уступив место Windows Hello.
Читатели со стажем помнят Microsoft Passport, систему аутентификации Microsoft. В начале пути Windows 10 она входила в состав системы. Позже компания объединила технологию с Windows Hello.
Windows Hello
Это современная система аутентификации Microsoft, которая привязана к устройству, построена на двухфакторной или двухэтапной аутентификации и заменяет пароли. С помощью Hello можно входить в:
- аккаунты Active Directory и Azure Active Directory (Windows Hello for Business)
- учетную запись Microsoft
- сервисы, поддерживающие FIDO2
Контекст этой статьи – домашняя среда, поэтому дальше речь пойдет про последние два пункта.
Регистрация аккаунта Microsoft на устройстве и вход в систему
Вход в учетную запись Microsoft с Windows Hello на устройстве с Windows 10 осуществляется только с помощью ПИН-кода и биометрии.
Пароль в сферу Hello не входит.
При регистрации аккаунта Microsoft на устройстве ПИН-код, идентификатор лица и отпечаток пальца защищаются парой криптографических ключей, которые генерируются аппаратно при наличии TPM 2.0 или программно.
Для регистрации MSA на устройстве требуется двухэтапная аутентификация, в т.ч. возможна беспарольная. Сервер Microsoft получает публичный ключ и ассоциирует его с аккаунтом пользователя, таким образом устанавливаются доверительные отношения.
Когда вы смотрите в камеру или проводите пальцем по сканеру отпечатков, полученные данные сверяются с ключами Hello. При успехе вы получаете токен аутентификации на вход в систему и доступ к сервисам с аккаунта компании на этом устройстве.
Назначение аппаратного ключа
С помощью аппаратного ключа FIDO2 можно входить без ввода пароля с зарегистрированной на устройстве учетной записью Microsoft на сайты и в приложения. Это финализировали в версии 1809, и в анонсе есть хорошее описание принципа аутентификации с ключом.
В Windows 10 аппаратный ключ можно задействовать при регистрации аккаунта Microsoft на устройстве, после чего входить в MSA с помощью Hello, т.е. ПИН-кода или биометрии.
Однако нельзя просто воткнуть флэшку и войти в учетную запись Microsoft на устройстве с Windows 10. Это работает только с аккаунтами Azure Active Directory, в т.ч. для Hybrid Azure AD.
В параметрах есть ссылка на KB4468253, где в частности говорится: аппаратный ключ используется в дополнение к ПИН-коду или биометрии, поэтому владеющий только ключом человек не сможет выполнить вход в аккаунт. Подтекст такой, что сначала надо выполнить вход в систему с Windows Hello, т.е. аутентификация двухфакторная.
Вы знаете ПИН-код или обладаете биологической особенностью (лицо, отпечаток пальца) и владеете ключом.
Конечно, если вы вошли в систему с Hello и оставили ПК без присмотра, злоумышленник может вставить ключ и авторизоваться с вашей MSA на сайте.
Как создать учетную запись Microsoft без пароля
Беспарольный аккаунт Microsoft создается с номером телефона, нежели с заданным вами адресом электронной почты. В интернетах мне попадались инструкции о том, как это сделать в Windows 10, но их авторы явно не пробовали пройти процесс 
Создать учетную запись Microsoft без пароля можно только в сторонних мобильных ОС 🙈
В Android и iOS в приложениях Microsoft Office (Word, Excel, Office и т.д.) вы можете создать MSA, указывая номер телефона. Если при попытке входа система определяет, что такого аккаунта нет, она предлагает создать новый. Пароль не требуется, а создание учетной записи подтверждается кодом в SMS.
Затем вы можете (и я рекомендую) использовать вместо SMS беспарольную 2FA в приложении Microsoft Authenticator.
Если же создавать MSA на сайте Microsoft https://signup.live.com/ или в параметрах Windows 10, указывая номер телефона, система требует задать пароль.
Причину эксклюзивности мобильных ОС объяснил мне в Твиттере глава подразделения Microsoft Identity.
Most laptops/PCs can’t receive an SMS code. So we see a lot of drop off in user success when a phone is required to complete a flow from a PC.
— Alex Simons (@Alex_A_Simons) August 11, 2020
Видимо, значительный процент людей пытается вводить несуществующие номера телефонов или домашние номера, куда SMS не проходит ¯\_(ツ)_/¯
Однако если учетная запись Microsoft без пароля уже создана, начиная с версии 1903, вы можете добавить ее на устройство уже во время установки Windows. После установки это можно сделать в Параметры – Учетные записи в разделах:
- Ваши данные — при переключении с локального аккаунта на свою MSA
- Семья и другие пользователи – при создании аккаунта для другого человека или отдельного профиля для своей MSA
Как я объяснил выше, учетная запись Microsoft регистрируется на устройстве при первой успешной аутентификации, а дальше вы входите в систему с Hello.
При желании вы можете задать пароль в настройках безопасности аккаунта. Адрес электронной почты добавляется там же в настройках профиля, но об этом Windows 10 вам будет напоминать сама.
Ключевая особенность беспарольного входа в версии 20H1+
Сводка изменений в двух версиях Windows 10 такова:
- 1903 — можно использовать на устройстве с Windows 10 аккаунт [Microsoft], требующий аутентификации, но не имеющий пароля в принципе
- 20H1 — можно отключить вход с паролем в учетную запись Microsoft, а также входить с ПИН-кодом в безопасный режим
Теперь можно вернуться к началу статьи и недоуменной реакции на нововведения у людей, которые в ноутбуках входили в аккаунт с помощью биометрии еще лет дцать назад, благодаря ПО и драйверам вендоров.
Ранее биометрический вход существовал наряду с парольным, даже если сам пароль был пустой. Равно как в такой аккаунт всегда можно было войти с паролем. Теперь, создав MSA без пароля или включив беспарольный вход, вы входите только с ПИН-кодом и биометрией.
В этом и заключается отличие от предыдущих версий Windows 10, более старых ОС Windows и решений вендоров.
Преимущества беспарольного входа и MSA без пароля
Я недавно проводил опрос и выяснил, что MSA в Windows 10 используют меньше половины людей даже в самой прогрессивной группе моей аудитории. Поэтому большинству читателей до беспарольных аспектов еще далеко. Впрочем, они и не сулят потребителям манны небесной.
- Требование Windows Hello. Поскольку Hello привязано к устройству, пароль не передается по сети. Такой подход укрепляет безопасность, но здесь основные бенефициары – организации, а домашним пользователям это ничего не дает.
- Учетная запись Microsoft без пароля. Если у вас нет пароля, вы его не забудете, равно как не сольете случайно посторонним лицам, например, попав под фишинговую атаку. Тут кроме пользы нет вреда, но нельзя терять контроль над номером телефона.
Подводные камни беспарольного входа
Есть несколько аспектов, которые вам надо учитывать, форсируя вход с Windows Hello и/или используя аккаунт Microsoft без пароля.
Невозможен автоматический вход в систему
Применимо к: требование входа с Hello / беспарольная MSA
Это я разбирал в прошлой статье в контексте форсирования входа с Hello. Если оно выключено, у беспарольной MSA ожидаемо есть возможность настройки автоматического входа. Но там надо задавать пароль, в т.ч. пустой, которого у аккаунта нет в принципе.
Недоступен вход с графическим паролем
Применимо к: требование входа с Hellо / беспарольная MSA
Первое логично следует из отключения парольного входа, а у второго нет никаких паролей в вариантах входа вне зависимости от того, требуется Hello для входа или нет.
Невозможно удаление ПИН-кода
Применимо к: требование входа с Hello / беспарольная MSA
На форум пришел человек, у которого была неактивна кнопка удаления. Нестыковка коллекционная, конечно, хотя вполне объяснимая.
Логика такова: если ломается сканер отпечатков и/или камера, ПИН-код – единственный способ входа без пароля.
Невозможен вход в локальную среду восстановления
Применимо к: беспарольная MSA
В отличие от безопасного режима, в среду восстановления с ПИН-кодом не войти. Для доступа к опциям восстановления (удаление исправлений) и диагностическим инструментам Windows RE (командная строка) требуется пароль администратора. Поэтому войти в беспарольную учетную запись Microsoft не получится, даже если вы переключились на нее с локального аккаунта, у которого пароль был установлен.
На картинке видно, что изначально использовался локальный аккаунт Admin, который я переключил на беспарольную MSA. Пароль от Admin ожидаемо не подходит.
В качестве обходного пути можно загрузиться в RE с установочной флэшки – в этом случае пароль администратора не запрашивается.
Еще одна неочевидная альтернатива – шифрование диска BitLocker, в том числе автоматическое. При входе в локальную RE требуется ввести 48-значный пароль восстановления, после чего экран с выбором администратора и вводом пароля уже не появляется.
Невозможно подключение по RDP или вход в сетевую папку
Применимо к: беспарольная MSA / MSA с паролем при беспарольной регистрации
У этих граблей два варианта.
Беспарольная MSA
Подключение по RDP и вход в сетевую папку подразумевают парольную аутентификацию, а для беспарольной MSA просто нечего указывать в качестве пароля. Однако по RDP можно подключиться к имеющей пароль MSA, даже если требование Hello включено, т.е. локальный вход с паролем невозможен.
MSA с паролем при беспарольной регистрации на устройстве
Проблема возникает, если добавление MSA на устройство проводится без ввода пароля, т.е. аутентификация выполняется по уведомлению в приложении Microsoft Authenticator. В этом случае Windows не с чем сравнить пароль, который вы вводите при подключении по RDP или входе в сетевую папку. Решение я опубликовал в своем канале Telegram.
Примечание. При использовании MSA с паролем вы можете столкнуться с проблемой подключения к ВМ на Hyper-V в режиме расширенного сеанса.
Литература (EN)
- Windows Hello for Business
- Why a PIN is better than a password
- Building a world without passwords
- Advancing Windows 10 as a passwordless platform
- Secure password-less sign-in for your Microsoft account using a security key or Windows Hello
Заключение
Несколько лет назад Microsoft взяла курс на беспарольную аутентификацию и с тех пор следует ему. Windows Hello отлично сочетается с облачными сервисами компании (Azure AD) и даже укрепляет безопасность традиционной инфраструктуры.
Домашним пользователям перепадает с корпоративного стола, но для них беспарольная технология еще не обрела законченный вид. С другой стороны, большинство людей до сих пор использует пароли Qwert321 для всех аккаунтов, сторонится MSA, двухфакторной аутентификации и прочих решений, защищающих учетные записи и личные данные.
Наверное, со временем беспарольные аккаунты станут мейнстримом, но для этого также понадобятся усилия Apple, Google и множества других компаний.
Конкретных дискуссионных тем я сегодня не предлагаю. Статья разъясняет технические нюансы, не играя на эмоциях, а MSA мы обсуждали в прошлый раз. Однако ваши вопросы и мысли по теме я всегда рад видеть в комментариях!
Written By
published
October 31, 2016
Did you know that with Windows Hello, you can sign into your Windows 10 devices* in less than two seconds**? Windows Hello uses biometric sensors to recognize your face or fingerprint instantly and unlocks your device without needing a password.
To get started, check to see if your device works with Windows Hello:
Go to Windows Settings (or simply type Windows key + I) > select Accounts > Sign-in options > Windows Hello
If it doesn’t, you have a couple of options. Consider buying a new PC, fingerprint accessory or camera accessory so that you can use the facial unlock or biometric security capabilities of Windows Hello.
Here’s how to set up Windows Hello:
Open the Settings menu (or simply type Windows key + I). Go to Accounts > Sign-in options > Set up > Get started. Type in your PIN when asked, or create one if you don’t have one already. You can always keep and use your PIN as a backup if you need.
To set up face recognition, keep looking at the screen. For fingerprint recognition, touch or swipe the finger you want to register on the sensor. You can also improve face recognition, add, or remove additional fingerprints, at any time, from the same place.
Share your PC? Here’s how to add multiple profiles:
Open the Settings menu and go to Accounts > Family & other people. Select “Add a family member” or “Add someone else to this PC,” and type in their Microsoft account email address.
Sign out from your account and ask the other person to sign in. They will be prompted to set up a new profile, including setting up Windows Hello.
Head over here to learn more about Windows Hello, or how Windows Hello protects your privacy. Have a great week!
*Windows Hello biometrics sign-in requires specialized hardware including a Windows Hello capable device, fingerprint reader, illuminated IR sensor or other biometric sensors.
** Based on average time comparison between typing a password respectively detecting a face or fingerprint to authentication success.
Rick Akura
In this guide, you will learn how to configure Windows Hello in Windows 10, how o set up webcam and fingerprint on Windows 10. Let’s get started.
Windows Hello is a new feature in Windows 10 which incorporates biometric security into your everyday life. If you truly want to be protected from unwanted access, using this tool is your go-to solution. Assuming you have the right hardware, you can set up facial recognition and fingertip scanning on your computer.
While many devices come with this technology built-in (such as Apple’s Face ID), to be able to do this on Windows, you need a special camera such as Intel RealSense, as well as a fingerprint reader. The next step is configuring Windows Hello to recognize you and enforce the security you desire.
If you don’t know how to properly set up Windows Hello, look no further. This article will guide you through all the steps to successfully configuring your device to recognize you.
How to set up your webcam for Windows Hello
Step 1. Check the compatibility of your device
As mentioned above, you need a compatible webcam device to use Windows Hello with. Modern laptops such as the Surface Pro 6 have these cameras built-in. However, if you’re using an older laptop or a desktop computer, you’ll need an external webcam.
Luckily, Microsoft has a page of devices that are compatible with Windows Hello. You can also check compatibility manually by opening the Start menu and going to Settings, then looking up Windows Hello. If you don’t see an option for Set-Up, your camera is most likely not compatible with the feature.
Don’t worry, you can always purchase and connect a camera which can be used for Windows Hello. While you can purchase a high-quality branded device such as the Logitech BRIO Ultra HD Webcam,
Step 2. Verify your identity
After connecting a compatible external camera or verifying that your laptop supports Windows Hello by default, you can proceed by clicking on the Set Up button. The very first thing you’ll need to do is verify your identity before you can set up facial recognition.
Windows 10 will ask you to enter an existing password to prove you have authorized access to this device. It could be the password of your Microsoft Account, or a PIN code that you set up.
Step 3. Scan your face
After passing the initial verification, you’ll be able to scan your face for Windows Hello. This will give the computer the best view of your face which it can later use to recognize you within a split second.
Let me share some tips for efficiently calibrating facial recognition:
- Make sure that you don’t alter your usual appearance too much. For example, don’t take your glasses off or sit down with a hairstyle you don’t often wear. Remember that Windows Hello needs to recognize you the way you usually look when sitting down in front of the computer.
- Stay in a well-lit room. Most people prefer to get this step done during the day with plenty of natural light coming in for the best image quality possible. This will help Windows hello recognize you easier, too.
- Keep your face centered in the frame shown on screen. Make sure you’re facing your screen straight-on and you’re looking directly into the webcam.
After successfully scanning your face, you have the option to adjust unique features if needed. The entire process should take between 1 to 2 minutes at most.
Step 4. Improve recognition for easier access
You’re able to make facial recognition even better by clicking on the Improve Recognition prompt on the next page. This will give further information of your face to Windows Hello, making it easier and faster to accurately detect your face.
We recommend doing this if you often wear glasses, piercings, or heavy makeup. Improving recognition with and without these accessories can save you a lot of time, especially if you use a cheaper webcam. If you won’t want to constantly have to change your look to unlock your computer, make sure to improve recognition.
How to set up a fingerprint reader for Windows Hello
Step 1. Plugin external fingerprint reader
If your device doesn’t come with an internal fingerprint reader, you’ll need to connect one yourself. These readers can be purchased for an affordable price and connect to your laptop or PC via a USB port. Once connected, Windows 10 will need to install the correct drivers, which should take a couple of minutes.
Step 2. Set up your fingerprint reader
Configure your fingerprint reader to work properly on Windows 10. To do this, you’ll need to open the Start menu then click on Settings. Use the search function and type in Fingerprint.
Once reaching this menu, you’ll simply have to click on the Setup fingerprint sign-in option. This will automatically take you to the page where you have to be to start setting up a fingerprint-based security system.
Step 3. Scan your fingers
When you open the Windows Hello settings, you’ll need to verify your identity with a password or PIN code. You’ll see an in-depth explanation about how the system works, then get the option to Get Started. You’ll need to swipe or tap your fingers on your fingerprint reader to scan your fingerprint into Windows 10.
If you wish, you can add extra fingers to use the fingertip scanner. This makes Windows Hello even more accessible, allowing you to use your other hand or different fingers when needed. You can unlock your computer even without having a webcam.
We hope this article was able to help you set up and configure Windows Hello on your computer. You should be able to enjoy the benefits of better security now. Activating Windows Hello on your device will significantly reduce the risk of unauthorized access.
Next Read:
> How to Fix Windows Hello Not Working After Windows 10 Update
Интегрированное в Windows 11 средство Windows Hello предоставляет возможность использовать (по заверению Microsoft) наиболее безопасный и удобный из существующих способ получения быстрого доступа к программным функциям устройств под управлением указанной версии ОС всех выпусков. Активируется и настраивается данная защита системы от несанкционированного использования следующим образом:
- Нажав клавиатурную комбинацию «Win»+«I» или кликнув по значку «Параметры» в меню «Пуск» Виндовс 11 открываем основной по задумке Microsoft инструмент настройки операционной системы.
- Щёлкаем мышкой в расположенной вверху слева окна «Параметров» секции с аватаркой, именем и учёткой текущего пользователя ОС или нажимаем на наименование «Учётные записи» в перечне разделов приложения.
Читайте также: Как изменить имя пользователя Windows 11
- В категории «Параметры учётной записи» из перечня в правой части открывшегося окна кликаем «Варианты входа», —
в результате откроется доступ к включению и настройке целевой в нашем случае функции.
- Прежде чем переходить к активации «Windows Hello», необходимо учесть, что данный способ входа в ОС недоступен для её учётных записей без включённой парольной защиты. Поэтому, если в текущий момент для авторизации в Windows 11 не требуется ввод секретной комбинации символов, её необходимо «Добавить», кликнув в блоке «Пароль – Вход с помощью пароля учётной записи» категории «Способы входа» или другим методом.
Подробнее: Установка пароля на вход в Windows 11
- Основной метод блокировки операционной системы при помощи Windows Hello – это «ПИН-код», задействовать его потребуется обязательно, даже если главной целью является возможность разблокировки Win 11 «по лицу» или отпечатком пальца:
- Кликаем по блоку «PIN-код (Windows Hello)» в перечне «Способы входа» раздела «Варианты входа» «Параметров» Windows,
затем нажимаем на отобразившуюся кнопку «Настройка».
- Подтверждаем пароль своей учётной записи в Виндовс 11, введя его в поле под соответствующим запросом системы, и затем кликнув «OK».
- В следующем окне заполняем поля «Новый ПИН-код» и «Подтверждение ПИН-кода» — по умолчанию это несколько цифр (от 4 до 127).
Стоит отметить, что в секретную комбинацию можно включить и отличные от цифр символы — с целью получения такой возможности устанавливаем галочку в чекбоксе «Включить буквы и символы»,
и затем нажимаем «Требования к ПИН-коду» для отображения
информации об установленных в его отношении ограничениях.
- Заполнив указанные поля, кликаем «ОК»,
после чего наблюдаем изменения в области с элементами взаимодействия с функцией «Вход с помощью ПИН-кода» в «Параметрах» Windows 11. Теперь здесь доступны кнопки «Изменить ПИН-Код» и «Удалить», что, в общем-то, является подтверждением успешной активации Windows Hello в ОС.
- Кликаем по блоку «PIN-код (Windows Hello)» в перечне «Способы входа» раздела «Варианты входа» «Параметров» Windows,
- Далее, при желании и наличии подключённых к компьютеру и поддерживаемых Виндовс Хелоу устройств ввода биометрических данных, можно включить функции «Распознавание лиц» и/или «Распознавание отпечатков пальцев» — кликаем по блоку с наименованием активируемого способа разблокировки ОС, вводим заданный на шаге выше ПИН-код, нажимаем «Добавить» и затем выполняем указания системы.
- На этом всё, в дальнейшем переход с экрана входа (блокировки) Windows 11 к эксплуатации функций ОС, а также отдельные, подразумевающие предоставление пароля от аккаунта Microsoft действия, будут защищёны Windows Hello, а значит, выполнимы
только после ввода PIN-кода или предоставления системе биометрических данных.
Наша группа в TelegramПолезные советы и помощь