Верно ли утверждение что для входа в операционную систему windows обязательно нужно задавать пароль

Если вы видите это сообщение, значит, произошла проблема с загрузкой файлов в стилей (CSS) нашего сайта. Попробуйте сбросить кэш браузера (Ctrl+F5).
Если это не поможет, а вы находитесь в регионе, где возможны ограничения интернет-трафика с российских серверов — воспользуйтесь VPN.

Сегодня у меня стало глючить окно ввода пароля. Ввожу пароль — «неверный пароль», ввожу ещё раз — «неверный пароль», потом вижу, что раскладка стоит на русском языке и не переключается левыми Alt+Shift. Переключаю правыми, ввожу пароль медленно и аккуратно — всё равно «неверный пароль». Потом вообще зависло намертво. Перезагрузился резетом, и нормально вошёл после двух-трёх попыток. Решил убрать пароль. Если работать без пароля, то мой компьютер могут взломать?

бонус за лучший ответ (выдан): 5 кредитов

Я так поняла,что вы молодой человек, у вас нет маленьких детей,то какой смысл вообще выставлять какие то пароли в Windows XP.

По сути пароль ставят,когда одним компьютером пользуются несколько людей,и у каждого туда свой вход и свой рабочий стол.А если вы пользуетесь единолично,то от кого пароли то ставить? Кто вы считаете может взломать ваш комп?Если сторонние хакеры,то не нужно переходить по сомнительным ссылках и неизвестным.

А также нужен нормальный антивирус,который защитит комп от троянов и вирусов.По сути,тот кто устанавливает вам ОС,если это делаете не вы,должен спросить-вам нужен пароль,я лично всегда отказываюсь.У меня ХР стоит почти 15 лет, и все без проблем.И это моя любимая ОС.

автор вопроса выбрал этот ответ лучшим

Antihaker-net
[9.2K]

10 лет назад

Ставить или не ставить пароль, Это дело так сказать сугубо индивидуальное. Но я не рекомендую вообще ставить пароль на систему. Если хотите, что то от кого то скрыть, работайте с носителя информации, который будет только у Вас с документами.

Ваш пароль не гарантирует, того что в систему нельзя войти. Для меня как специалиста, по безопасности не составить труда обойти любой пароль, на любом устройстве. Если спросите зачем тогда пароль, отвечу. Он не пускает только, пользователей не обладающих знаниями как его допустим отремонтировать или восстановить информацию, не знаю пароля.
Пароль защищает систему, не от всего. Он прежде всего защиает Ваши данные но ни систему целиком.
Хакеры в сети обычно для неопытных устанавливаю сайты ловушки, которые заражать компьютеры, и пароль Вам только, с играет злую шутку. Есть сканеры клавиатуры, которые вычислят его в раз.
Как же защититься. Вариантов много. Но почему не стоит ставить пароль. проще восстановить программу, если слетел виндовс без переустановки. Купите съемный диск, или флешку, установите туда виндовс свой, и загружайтесь с него и работайте в нем. А по кончании работы, забирайте его, итогда наверняка никто не узнает, как и над чем вы работали.

ShaurMa
[928]

10 лет назад

Хм, взломать не знаю…

Но у меня отлично и без пароля работает, в общем он нужен только для того, чтобы любой другой пользователь не мог получить доступ к Вашим файлам без Вашего соглашения.

А к взлому это, вроде, никак не относится.

Компьютер могут взломать и с паролем.

Если это домашний комп и им пользуется один человек, пароль не нужен. Если несколько — для разграничения может и пригодится.

На ноутбуке это может быть ценным от лишних глаз, не более. Если кто-то захочет взломать — взломает.

На внешний взлом наличие пароля не влияет. Т.е. если подселили вирус.

Если комп у кого-то окажется физически — получить доступ у информации тоже можно не так сложно. Особенно для профессионалов.

В принципе, подобного рода пароли как раз от случайных людей, проходящих мимо компа и служат.

Но систему проверьте на наличие других ошибок, на всякий случай.

Да, на «Администратора» пароль лучше установить. При запуске консоли восстановления понадобится учётная запись администратора, которую он может не принять без пароля (хотя пишут обратное, что принимает, но это не так. Или не всегда так). При наличии ещё какой-то учётной записи с правами администратора, «Администратор» скрыт в обычном использовании, проявляется в обычных случаях, к примеру, при входе в «Безопасный режим».

Способы ограничения доступа к определённым данным описал Antihaker-net

ovro1
[96.9K]

10 лет назад

Если Вы — не главный бухгалтер у миллиардера, а всего лишь написатель «Больших вопросов», то опасаться взлома и проникновения чужих глаз и рук смысла нет!

А вообще подобное явление с паролем — плохой признак работы системы, помимо сбоев с паролем, могут наблюдаться и другие сбои в работе, потому что генерация буквенно-цифрового кода проводится одной и той же схемой. По доброму при программном сбое Вы в систему не должны были войти вообще, однако Вы вошли! А это уже говорит об аппаратной «болячке»!

Дельфийка
[210K]

10 лет назад

Я не устанавливала пароль на вход в компьютер (хотя раньше он был, но мне надоело его вводить). Ничего особенно секретного у меня на компе нету, к тому же им иногда и моя мама пользуется — раньше у неё был отдельный «пользователь», но потом нам надоело с этим заморачиваться и мы оставили только одного пользователя.

Правда, некоторые свои секретные документы я запаролила отдельно)

Ulkeora
[349]

10 лет назад

В Windows XP нет особого смысла ставить пароль, т.к. вход можно осуществить через безопасный режим (какая-то из клавиш F6 или F8, уже и не припомню), конечно если нет маленького ребенка, чей доступ к ПК не желателен. А если хотите то можно запаролить BIOS или если ребенок подрос, хотя и его можно легко обойти. Лучше всего ставить пароль на отдельные файлы и папки

wilyash8
[3.2K]

10 лет назад

Пароль для операционной системы windows xp ставить совсем необязательно. Его применяют для защиты компьютера от несанкционированного использования. Ваш компьютер от отсутствия пароля на вход в систему никак не пострадает. При установке операционной системы просто не нужно вводить защитный код, и windows xp при включении загружается без запроса пароля.

Серж-2
[3.2K]

10 лет назад

Абсолютной гарантии пароль не даст. Но уменьшит возможность взлома — это факт. Вы комп от пыли давно чистили? Сколько ему лет-то? Как вообще система работает? Тормозит, я чаю ? Напишите, какой антивирус и установлены ли кроме него еще антивирусы на компе (2 антивируса будут мешать друг другу, конфликтовать и как следствие — нагружать систему).

МАРИШКА2015
[18.4K]

10 лет назад

Могут и взломать,но у вас ведь нет ничего такого ценного правда ведь для взломщиков.

Пароль можно ставить от родственников, которые наровят залезть к вам и просмотреть все, что у вас есть да и вообще, если не хотите его ставить не ставьте все равно это только ваш выбор…

marishka1991
[37]

10 лет назад

Взломать могут все если захотят, но а если ваш компьютер находиться дома, то снимайте пароль он вам не нужен.

Pavel kox
[0]

10 лет назад

Ставить пороль или не ставить-это только ваше решение!если вы хотить защитить доступ к компьютеру,то лучше поставить,но только при желание его все равно могутвзломать!так что выбор только за вами!

nina5
[20.1K]

10 лет назад

При появлении окна о вводе пароля, который вы не устанавливали, просто нажимайте «ОК».

Знаете ответ?

Источник

В этой публикации, друзья, рассмотрим варианты входа в Windows 11. Операционная система может предложить нам разные способы доступа к компьютеру в контексте авторизации в пользовательской учётной записи – от максимума простоты и удобства, если нам нечего или не от кого что-то скрывать, при использовании незапароленной локальной учётной записи, до максимума безопасности при использовании USB-ключа. Можем выбрать наиболее удобный, наиболее отвечающий нашим потребностям вариант входа в Windows 11. Что это за варианты, какие устройства нужны для отдельных из них – давайте во всём разбираться.

Друзья, в Windows 11 нет новых, присущих только ей вариантов входа в учётную запись компьютера, все варианты в полном составе унаследованы от Windows 10. Но в процессе эволюции Windows 11 многие из вариантов входа получили апгрейд в рамках поставки компанией Microsoft функциональных обновлений. Соответственно, в Windows 11 в плане способов доступа к компьютеру имеем всё то же, что и в Windows 10, но проверенное временем, вытестированное и улучшенное.

Настраиваются варианты входа в Windows 11 в системном приложении «Параметры» по пути:

Учётные записи → Варианты входа

Каждый вариант имеет свои условия его применения. Рассмотрим варианты входа в Windows 11, определив их в категории по способам авторизации – незапароленный, парольный и беспарольный.

Незапароленный доступ к компьютеру – это простота, удобство, оперативность при работе с компьютером. Если пароля нет, его невозможно забыть, и не нужно заморачиваться с его сбросом. Если ещё и отключить контроль учётных записей UAC, не будет вообще никакой волокиты. Но этот способ доступа подходит только для случаев, когда нет необходимости в защите своей конфиденциальности – только для дома, когда мы проживаем без детей, одни, либо с близкими, с которыми выстроены устойчивые отношения с уважением личного пространства каждого.

Незапароленный вход в Windows 11 возможен при использовании локальной учётной записи.

Примечание: друзья, компания Microsoft не позволяет нам создавать локальные учётные записи в процессе установки Windows 11. Можно либо обойти это ограничение, либо авторизоваться в учётной записи Microsoft, а после установки операционной системы переключиться на локальную учётную запись в системном приложении «Параметры».

И на этапе установки пароля для локальной учётной записи оставить поля его создания и подтверждения пустыми. Детально об использовании локальной учётной записи без пароля.

Другой способ незапароленного входа в Windows 11 – использование учётной записи Microsoft, но без пароля. Это возможно путём внесения определённых системных настроек и правки реестра. Детально об использовании учётной записи Microsoft без пароля.

Защищённая паролем учётная запись Windows – это предотвращение несанкционированного доступа к компьютеру и личной информации в целях обеспечения нашей конфиденциальности. Если компьютер рабочий, к нему могут получить доступ другие сотрудники. Если компьютер домашний, к нашей учётной записи с правами администратора не должны иметь малолетние дети. Ну и многим наверняка есть что скрывать от взрослых членов семьи.

Пароль – это традиционный способ обеспечения нашей конфиденциальности. Удобен тем, что не требует наличия специальных устройств. И этот способ позволяет нам самим выбрать степень безопасности. Можем установить простейший пароль из одной или нескольких цифр в качестве элементарной меры предосторожности от малолетних детей, при этом не сильно потеряем в удобстве работы с компьютером. А можем при необходимости установить сильный пароль, на взлом которого потребуется несколько тысяч лет. Нам в помощь в этом деле — средства генерации паролей.

Пароль можно установить для локальной учётной записи в процессе её создания. Либо в любой момент при имеющейся незапароленной локальной учётной записи.

Только локальная учётная запись позволяет установить пароль без ограничений на число и типы символов (цифры, буквы, их верхний или нижний регистр, знаки). И, соответственно, только с использованием такой учётной записи сможем установить максимально простой пароль, состоящий из одной цифры, буквы или знака.

Для использования учётной записи Microsoft пароль обязателен. Его мы устанавливаем при создании такой учётной записи, и он един для использования всех сервисов Microsoft. Пароль должен включать не менее 8 символов как минимум двух типов.

Упростить работу с компьютером при использовании учётной записи Microsoft можно, установив короткий пин-код. Он используется только на текущем компьютере. Предлагается нам сам при подключении учётной записи Microsoft в процессе установки Windows 11. И в любой момент, когда мы захотим переключиться с локальной учётной записи на учётную запись Microsoft.

Пин-код должен содержать не менее четырёх символов, это могут быть только цифры. При этом три из них могут быть одинаковыми, но четвёртая должна быть другой. Т.е., максимально упрощённый пин-код может быть, например, 1112 или 7778. При необходимости можно установить сильный пин-код, с большим числом символов (до 127), состоящий не только из цифр, но также других символов.

Пин-код – это способ авторизации, являющийся частью функции Windows Hello, представленной в Windows 10 и 11. Windows Hello призвана упростить и ускорить процесс доступа к компьютеру не в ущерб безопасности. Другие способы авторизации, относящиеся к Windows Hello – распознавание лица и отпечатка пальца, но это уже беспарольные способы доступа к компьютеру, о них ниже.

Ещё один парольный вариант входа в Windows 11 — с использованием одноразового пароля, получаемого в мобильном приложении Microsoft Authenticator на смартфоне. Детально об этом варианте – в статье о приложении Microsoft Authenticator.

Беспарольный доступ к компьютеру предусматривает способы входа в Windows 11 без необходимости ввода пароля. Так само, как пароль или пин-код, предотвращает несанкционированный доступ к компьютеру и обеспечивает нашу конфиденциальность. Но более удобен, не усложняет работу с компьютером, поскольку использует графический пароль, наши биометрические данные или физические устройства. При беспарольном доступе мы надёжно защищены от взлома пароля. Правда, биометрические системы иногда сбоят, а у физических устройств могут быть свои технические проблемы, либо их можно элементарно потерять. Благо, на этот счёт у Microsoft всё продумано: беспарольный доступ – это дополнительный вариант входа в Windows 11, работающий только при условии существования пароля, пин-кода или другого способа авторизации. Которым мы сможем воспользоваться, если с беспарольным доступом возникнут проблемы.

Способы беспарольного входа в Windows 11:

Установка графического пароля путём настройки изображения и жестов авторизации. Самый простой способ беспарольного доступа, не требует никаких физических устройств;
Распознавание лица — вход с использованием видеокамеры, распознающей наше лицо. Для применения нужна совместимая камера (встроенная или подключаемая через USB) с поддержкой инфракрасного освещения;
Распознавание отпечатка пальца – вход с использованием отпечатка пальца. Для применения нужен совместимый сканер отпечатков пальцев (встроенный или подключаемый через USB);
Ключ безопасности — вход с использованием физического USB-ключа безопасности или NFC-устройства (смартфон, карточка доступа и т.п.). Это вариант входа в Windows 11, обеспечивающий самый высокий уровень безопасности. Но, например, USB-ключ безопасности стоит приличных денег.

Друзья, если вы используете парольную или беспарольную защиту, не забывайте о блокировке учётной записи, когда вы отлучаетесь от компьютера. Нужно, чтобы Windows 11 вышла на экран блокировки, препятствуя доступу к нашей учётной записи без авторизации. Такая блокировка выполняется клавишами Win+L. Либо можно компьютер погружать в сон или выключать. Он пробудится или включится на том же экране блокировки. А в качестве дополнительной меры на случай, если когда-то отлучимся от компьютера, оставив учётную запись авторизованной, можно установить короткий промежуток бездействия для погружения компьютера в сон автоматически.

Источник

Параметры входа в Windows служат различным целям для повышения безопасности учетной записи пользователя и удобства входа.

Доступ к параметрам входа можно получить в приложении «Параметры». В приложении «Настройки» на устройстве с Windows, выберите Учетные записи > параметры входа или воспользуйтесь следующим сочетанием клавиш:

Параметры входа

Параметры входа разделены на два раздела:

Способы входа
Дополнительные параметры

Снимок экрана: экран параметров data-lazy-src=

параметров входа.» width=»1112″>

Примечание: Доступность определенных параметров может отличаться в зависимости от конфигурации устройства.

Способы входа

Разверните следующие разделы, чтобы узнать о способах входа в параметры.

Используйте эти параметры, чтобы настроить вход с помощью распознавания лиц вместо пароля. В этом разделе вы также можете улучшить распознавание лиц или удалить его.

Дополнительные сведения см. в статье Настройка Windows Hello.

Используйте эти параметры, чтобы настроить вход с помощью отпечатка пальца, а не пароля. В этом разделе вы можете зарегистрировать несколько пальцев или удалить их.

Дополнительные сведения см. в статье Настройка Windows Hello.

Используйте эти параметры, чтобы настроить вход с ПОМОЩЬЮ ПИН-кода, а не пароля. В этом разделе вы также можете изменить ИЛИ удалить ПИН-код.

Дополнительные сведения см. в статье Настройка Windows Hello.

Ключи безопасности — это устройства, используемые для проверки подлинности, обычно в виде USB-ключа, NFC или Bluetooth. Вместо пароля можно использовать ключ безопасности для входа в приложения, веб-сайты и, если у вас есть рабочая или учебная учетная запись, даже Windows.

Используйте этот раздел, чтобы изменить или сбросить ПИН-код ключа безопасности.

Дополнительные сведения см. в статье Вход в учетную запись с помощью ключа безопасности.

Используйте этот раздел для изменения пароля

Дополнительные параметры

Разверните следующие разделы, чтобы узнать о дополнительных параметрах входа.

Если этот параметр включен, вы отключите функцию расширенного входа , которая является Windows Hello функцией, которая обеспечивает уровень безопасности биометрических данных с помощью специализированных компонентов оборудования и программного обеспечения. Он доступен только на устройствах с совместимым оборудованием.

Дополнительные сведения см. в статье Расширенная безопасность входа (ESS).

Динамическая блокировка — это функция безопасности, которая автоматически блокирует устройство, когда вас нет рядом. Он использует Bluetooth для связывания с телефоном и блокирует устройство, когда сигнал Bluetooth падает ниже определенного уровня, указывая, что вы больше не находитесь рядом с устройством.

Эта функция помогает предотвратить несанкционированный доступ к устройству, если вы забудете заблокировать его при выходе.

Чтобы включить динамическую блокировку, включите переключатель Вкл . Возьмите телефон с собой, когда вы отойдете от устройства, и Windows автоматически заблокирует в течение минуты после того, как вы выйдете из диапазона Bluetooth.

Если этот параметр включен, Windows сохраняет состояние перезапускаемых приложений и повторно открывает их после входа в систему. Этот параметр может быть полезен для поддержания непрерывности рабочего процесса и экономии времени, не открывая приложения вручную после перезапуска системы.

Если этот параметр включен, на экране входа отобразится адрес электронной почты вашей учетной записи пользователя.

Если этот параметр включен, Windows использует данные входа для автоматического завершения настройки устройства и повторного открытия приложений после обновления. Этот параметр предназначен для ускорения процесса входа и обеспечения блокировки устройства после этого, чтобы обеспечить безопасность вашей учетной записи и персональных данных.

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Источник

В системных требованиях Windows 11 появилось обязательное наличие в компьютере модуля безопасности TPM. В то же время обязательного шифрования системного раздела настольных компьютерах по-прежнему не наблюдается. Для чего в Windows 11 используется TPM, как именно усилена безопасность и можно ли обойти эти меры в процессе криминалистического исследования компьютера? Об этом — в нашей новой статье.

Windows 11: теперь без пароля

Традиционный способ входа в учётную запись Windows — пароль. Вплоть до выхода Windows 8 пароль оставался единственным способом войти в систему по локальной учётной записи (рассмотрение доменных учётных записей отложим на будущее).

В Windows 8 появился дополнительный способ авторизации. Теперь для входа в систему можно использовать не только локальную учётную запись, но и учётную запись Microsoft Account — ту самую, посредством которой осуществляется доступ к онлайновому почтовому сервису Hotmail, мессенджеру Skype, облачному хранилищу OneDrive, подписке на Office 365 и многим другим сервисам компании Microsoft. В последующих выпусках Windows учётным записям Microsoft Account придавался всё больший вес, а возможность установки ОС без неё становилась всё более сложной. В младших редакциях Windows использование локального логина и пароля и вовсе ограничили: настроить систему при установке можно исключительно с использованием онлайновой учётной записи.

Первый вход в учётную запись Microsoft Account требует наличия активного соединения с интернетом. Данные учётной записи проверяются Microsoft на удалённом сервере, после чего хэш от пароля сохраняется (кэшируется) на компьютере; это позволяет впоследствии входить в учётную запись при отсутствии соединения. У такого поведения есть и обратная сторона: хэш от пароля можно извлечь из соответствующей базы данных на компьютере, после чего восстановить оригинальный пароль посредством быстрой офлайновой атаки. Подчеркнём, что восстанавливается именно пароль от учётной записи Microsoft Account, посредством которого можно авторизоваться не только на исследуемом компьютере, но и в онлайновых сервисах Microsoft — получив, таким образом, доступ к переписке пользователя в Hotmail, чатам Skype, файлам OneDrive и массе другой информации. Более того, в учётных записях Microsoft хранятся в том числе и депонированные ключи BitLocker, использующиеся для восстановления доступа к зашифрованным дискам. Добавлю, что скорость атаки на пароли Windows исключительно высокая, что позволяет в разумные сроки восстанавливать даже достаточно сложные пароли. Мы уже писали о такой уязвимости в статье Microsoft Account: удобство или дыра в безопасности? — рекомендуем ознакомиться.

Использование двухфакторной аутентификации может помочь защитить содержимое онлайновой учётной записи, однако восстановленный пароль позволяет разблокировать и компьютер пользователя, получив, таким образом, доступ к такой информации, как пароли из браузера Edge, файлам в облачном хранилище OneDrive и всей той информации, для доступа к которой в ином случае потребовалось бы пройти двухфакторную проверку.

Разработчики Microsoft предложили дополнительные способы авторизации — вход по PIN-коду и при помощи биометрических данных (подсистема Windows Hello), о которых мы расскажем ниже. Ни один из этих способов не решил основной проблемы — возможности восстановления оригинального пароля от онлайновой учётной записи посредством сверхбыстрой офлайновой атаки.

Похоже, в ответе на вопрос «удобство или дыра в безопасности?» разработчики Microsoft, наконец, склонились ко второму варианту. Что же изменилось в Windows 11? В новой версии ОС добавился новый тип учётных записей с входом без пароля. При использовании таких учётных записей для логина в систему не нужно (и невозможно) вводить пароль от учётной записи Microsoft Account; вместо пароля используется PIN-код или биометрические данные подсистемы Windows Hello (например, видеопоток с сертифицированной инфракрасной стереокамеры или данные датчика отпечатков пальцев). О том, где хранится PIN-код и почему такой способ авторизации заметно безопаснее входа по паролю будет рассказано далее по тексту; сейчас же перечислим доступные в Windows 11 для обычного (не доменного) пользователя способы входа в систему.

[используется по умолчанию] Учётная запись Microsoft Account без пароля. Пароль для входа в систему использовать невозможно; поддерживается вход по PIN-коду (TPM), Windows Hello или через авторизацию в приложении Microsoft Authenticator (онлайн).
[так было в Windows 10, и так остаётся при обновлении Windows 10 > Windows 11] Учётная запись Microsoft Account с паролем. Хэш пароля к учётной записи хранится локально и не защищается TPM. Поддерживается вход по PIN-коду (TPM), Windows Hello.
Локальная учётная запись Windows (вход по паролю). Для входа может использоваться локальный пароль (его хэш хранится в системе, не защищается TPM), PIN (TPM) или Windows Hello.

В каких случаях в Windows 11 используется вход без пароля?

В Windows 11 поддерживаются способы входа как по паролю, так и без него. Режим входа без пароля используется в новом типе учётных записей и включается по умолчанию как во время установки Windows 11 на новый компьютер, так и при создании новой учётной записи на компьютерах, на которых Windows 11 была установлена в виде обновления с Windows 10. В то же время существующие в Windows 10 учётные записи, в которых для входа использовался пароль, остаются в Windows 11 в неизменном виде. Для того, чтобы включить вход без пароля, пользователю необходимо включить соответствующую опцию в настройках системы (Sign-in options):

Также этот способ входа можно активировать через Windows Registry:

Подытожим:

При установке Windows 11 на новый компьютер: Microsoft Account, вход без пароля.
При обновлении с Windows 10: используется тот же способ входа, что и в оригинальной ОС Windows 10.
Новые учётные записи, создаваемые в Windows 11, установленной любым способом: Microsoft Account, вход без пароля.

Использовался ли TPM в Windows 10?

Да, в Windows 10 также используется модуль безопасности TPM2.0. Разница между Windows 10 и Windows 11 не в масштабах использования TPM (здесь мы не увидели принципиальной разницы), а в том, что в Windows 11 TPM обязателен, а в Windows 10 — нет. Эта, казалось бы, небольшая разница, приводит к глобальным последствиям в области безопасности при использовании входа по PIN-коду вместо пароля. Подробно об этом Microsoft рассказывает в статье (на английском языке) Why a PIN is better than an online password (Windows) — Windows security, с содержанием которой можно ознакомиться в переводе Почему ПИН-код лучше, чем пароль в Интернете (Windows) — Windows security | Microsoft Docs. В этой статье Microsoft делает несколько не вполне корректных утверждений, «очевидная» интерпретация которых создаёт ложное ощущение безопасности. Разберём подробности. Ниже приводится цитата из статьи в Microsoft Documentation (сохранена оригинальная орфография):

ПИН-код привязан к устройству

Одно важное отличие между онлайн-паролем и ПИН-кодом Hello состоит в том, что ПИН-код привязан к определённому устройству, на котором он был настроен. ПИН-код не может использоваться без конкретного оборудования. Кто-то, кто крадёт ваш пароль в Интернете, может войти в вашу учётную запись из любого места, но если он украдёт ПИН-код, им также придётся украсть ваше физическое устройство!

ПИН-код поддерживается оборудованием

ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. Многие современные устройства имеют TPM. Windows 10, с другой стороны, имеет дефект, не связывающий локальные пароли с TPM. Именно по этой причине ПИН-коды считаются более безопасными, чем локальные пароли.

Если воспринимать информацию буквально, создаётся ложное ощущение, будто PIN-код является своеобразной панацеей, всегда хранится в модуле TPM и не может быть взломан. Это не так. Дело в том, что Windows 10 работает как на компьютерах с модулем TPM, так и без него, причём пользователю об этом система не сообщает. Более того, даже на компьютерах, в прошивке которых присутствует эмуляция TPM, эта эмуляция чаще всего по умолчанию отключена — пользователю предлагается самостоятельно зайти в UEFI BIOS, отыскать меню «Miscellaneous» и включить настройку, которая может называться, к примеру, “Intel Platform Trust Technology (PTT)”. Сколько пользователей включит эту настройку, а какое количество оставит её неизменной или просто не узнает о её существовании?

Если TPM в системе отсутствует или не включён в UEFI BIOS, Windows 10 всё равно предложит использовать для входа PIN-код, а Microsoft всё так же будет убеждать, что этот способ входа более безопасен по сравнению с паролем. Это не так. Пароль от учётной записи в виде хэша всё так же хранится на диске, а сам PIN-код с компьютера без TPM можно взломать простым перебором (цифровые PIN-коды, даже шестизначные, можно перебрать за считанные секунды).

Без модуля TPM вход в Windows по PIN-коду небезопасен

Совсем иначе дела обстоят в случае, если в системе присутствует и активирован модуль TPM2.0 в физическом виде либо в виде процессорной эмуляции. Рассмотрим поведение системы в следующих сценариях, которые мы протестировали в нашей лаборатории.

Сценарий 1: Система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится физический диск с установленной ОС. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.

Сценарий 2: Система с Windows 10 (вход по PIN-коду) без TPM переносится на другой компьютер без TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.

Сценарий 3: Система с Windows 10 (вход по PIN-коду) без TPM переносится на компьютер с установленным и активным модулем TPM. Переносится только копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает ни по одной позиции. Результат: вход по PIN-коду срабатывает на новом компьютере так же, как и на старом.

Сценарий 4: Система с Windows 10 (вход по PIN-коду) с активным модулем TPM переносится на другой компьютер с активным модулем TPM. Переносится копия раздела с установленной ОС; аппаратное обеспечение между двумя компьютерами не совпадает. Результат: вход по PIN-коду на новом компьютере не срабатывает; для входа требуется пароль от учётной записи; для использования PIN-кода потребовалось удалить старый PIN и настроить новый.

Очевидно, что только четвёртый сценарий соответствует модели безопасности, описанной Microsoft в статье Почему ПИН-код лучше, чем пароль в Интернете (Windows) — Windows security | Microsoft Docs.

Есть ли в моём компьютере TPM?

Модули TPM (как правило, в виде процессорной эмуляции, что не оказывает влияния на реальную безопасность системы) присутствуют в большинстве портативных компьютеров (ноутбуки, планшеты с Windows, устройства два-в-одном и т.п.), оборудованных процессором Intel 8-го поколения и более новыми либо процессором AMD с архитектурой Zen и более новыми. В ноутбуках TPM, как правило, активен по умолчанию.

Для настольных компьютеров ситуация отличается. Процессорная эмуляция TPM по-прежнему доступна в системах с процессором Intel 8-го поколения и более новыми либо процессором AMD с архитектурой Zen и более новыми, однако поддержка TPM, как правило, выключена по умолчанию на уровне настроек UEFI BIOS. Ситуация стала меняться с выходом платформы Intel 12-го поколения (Alder Lake), а производители системных плат для платформ AMD с сокетом AM4 стали публиковать прошивки, в которых fTPM (firmware TPM) активируется по умолчанию.

Можно ли использовать вход без пароля в Windows 10?

В сентябре 2021 года компания анонсировала своё видение будущего без паролей. Пользователям очередной сборки Windows 10 предлагалось изменить настройки учётной записи Microsoft Account, запретив вход в учётную запись по паролю. Использование такой учётной записи для входа в систему позволяло избавиться от хранения хэша пароля на локальном компьютере. В то же время пользователь терял возможность войти в учётную запись Microsoft по логину и паролю; для успешного входа требовался доступ к доверенному телефонному номеру или ранее авторизованному устройству с установленным на нём приложением Microsoft Authenticator. С учётом того, что данное приложение доступно исключительно для смартфонов на iOS и Android (но не для компьютеров под управлением Windows), целесообразность данного нововведения представляется несколько сомнительной. (Инструкция: How to go passwordless with your Microsoft Account). Новшество не получило заметного распространения из-за неочевидных преимуществ и существенного неудобства использования.

Как Windows 11 использует TPM при авторизации входа в систему

В документации Microsoft (How Windows uses the TPM — Windows security | Microsoft Docs) описаны способы, которыми Windows может использовать аппаратный модуль безопасности. Реальность значительно скромнее: «может» не означает «использует». Так, пароли, которые пользователь хранит в браузере Microsoft Edge, защищены механизмом DPAPI, но ключ шифрования хранится на системном диске (он зашифрован данными учётной записи) и не защищается TPM, что позволяет извлечь эти пароли из образа диска, если известен пароль от учётной записи пользователя.

Вместо того, чтобы использовать TPM для хранения всё большего количества данных, в Microsoft попытались обойти проблему, представив способ входа в учётную запись без пароля. Именно этот способ — и только на системах с TPM! — позволяет говорить о безопасности учётной записи: теперь защищённые DPAPI данные невозможно расшифровать, не войдя в систему, а войти в систему можно исключительно по PIN-коду (или через Windows Hello), который будет проверяться аппаратным модулем TPM. Любое изменение в конфигурации системы (как изменение аппаратной части, так и загрузка с внешнего накопителя) приведут к тому, что модуль TPM не отдаст нужный ключ, и защищённые данные расшифровать не удаатся.

Подведём итог.

В Windows 11 с TPM невозможно взломать PIN-код. Для нового типа учётных записей с авторизацией без пароля невозможно ни подобрать пароль, ни использовать пароль к Microsoft Account, извлечённый из другого компьютера или учётной записи.

Существует техническая возможность конвертации учётной записи из нового типа в локальную, для которой вход будет осуществляться по известному паролю. При такой конвертации (например, в программе Elcomsoft System Recovery) будет утрачен доступ к зашифрованным в NTFS файлам и папкам, а также данным, защищённым DPAPI. В то же время такая конвертация может оказаться полезной для исследования системы пользователя.

А что с шифрованием BitLocker?

Ни сам механизм BitLocker, ни политики шифрования в Windows 11 не получили серьёзных изменений в сравнении с Windows 10. После анонса Windows 11 у многих обозревателей возникло впечатление, что Microsoft будет шифровать системный раздел Windows 11 так же, как это делают производители смартфонов. Оказалось, что это не так. По умолчанию (посредством BitLocker Device Encryption) шифруются лишь оборудованные TPM портативные устройства — ноутбуки, планшеты и устройства два-в-одном, однако точно таким же образом шифрование включалось и в Windows 8, и в Windows 10. При установке Windows 11 на настольный компьютер шифрование по умолчанию не включается; более того, для того, чтобы использовать BitLocker, требуется редакция Windows 11 Pro, Enterprise или Education. Для пользователей младшей редакции Home шифрование остаётся недоступным.

Что делать, если в исследуемой системе активно шифрование BitLocker? При использовании Elcomsoft System Recovery вам потребуется сначала смонтировать зашифрованный раздел, введя депонированный код восстановления доступа BitLocker Recovery Key (подробности — в статье Механизмы защиты BitLocker: какие диски можно, а какие нельзя взломать). При использовании TPM разблокировать зашифрованный диск можно или так, или загрузившись и авторизовавшись в оригинальную установку Windows на том же самом компьютере в неизменной аппаратной конфигурации. Создать образ раздела и разблокировать его паролем (или PIN-кодом) не удастся: ни PIN, ни пароль не участвуют в шифровании, а ключ хранится в модуле TPM, извлечь его из которого невозможно.

Единственный способ разблокировать такие тома BitLocker — использовать ключ восстановления BitLocker. Для портативных устройств с BitLocker Device Encryption Windows автоматически создаёт ключ восстановления при шифровании системного раздела; ключ восстановления будет так же автоматически загружен в учётную запись Microsoft первого же пользователя, который войдёт в систему на этом компьютере с правами администратора и использует учётные данные Microsoft для входа в систему. Этот ключ можно запросить у Microsoft или загрузить его, войдя в учётную запись Microsoft пользователя и перейдя по следующей ссылке: https://account.microsoft.com/devices/recoverykey

При помощи депонированного ключа диск разблокируется:

Обратите внимание: после разблокировки диску назначается новая буква.

После этого можно приступать к конвертации учётных записей.

Разблокировка и конвертация учётных записей Windows 11 с авторизацией без пароля

Чтобы разблокировать учётную запись Windows 11 с авторизацией без пароля, её необходимо сконвертировать в обычную локальную учётную запись с паролем, установив собственный пароль. Для этого нужно загрузить компьютер с USB-накопителя Elcomsoft System Recovery. Создать загрузочный накопитель Elcomsoft System Recovery можно, воспользовавшись инструкциями в статье Elcomsoft System Recovery: загрузочный накопитель для исследования компьютеров.

После загрузки Elcomsoft System Recovery необходимо выбрать стандартный режим работы (по умолчанию программа запускается в режиме «только для чтения», в котором запрещены любые модификации данных).

Для конвертации учётной записи Microsoft Account с авторизацией без пароля в обычную локальную учётную запись воспользуйтесь следующей инструкцией.

Выберите учётную запись для конвертации.

Укажите пароль, который будет установлен в учётной записи.

Не забудьте создать резервную копию оригинальной базы данных SAM.

Программа автоматически определит тип учётной записи с авторизацией без пароля и предложит удалить эту опцию. Вы не сможете продолжить конвертацию, если отклоните запрос.

Elcomsoft System Recovery уведомит о потенциальных последствиях конвертации (см. ниже) и внесёт изменения в базу данных SAM. После этого вы сможете загрузить компьютер в Windows и войти в учётную запись, используя ранее установленный пароль.

Обратите внимание: после конвертации учётной записи станут недоступными ключи и данные, защищённые DPAPI. Сюда входят пароли браузера Microsoft Edge, файлы и папки, зашифрованные в NTFS, и некоторые другие данные.

Заключение

Несмотря на бесчисленные копья, сломанные в спорах о явно завышенных системных требованиях Windows 11, разработчики Microsoft сделали шаг в верном направлении. Обязательное требование наличия TPM совместно с новым способом авторизации устраняют серьёзную уязвимость в механизме авторизации Windows при входе в учётную запись. В то же время мы не заметили изменений в политике шифрования. На портативных устройствах всё так же используется BitLocker Device Encryption, а в настольных компьютерах шифрование по-прежнему остаётся опциональным; для доступа к зашифрованным данным всё так же используется депонированный в Microsoft Account ключ BitLocker Recovery Key.

REFERENCES:

Elcomsoft System Recovery

Elcomsoft System Recovery поможет восстановить доступ к учётным записям к локальным учётным записям Windows и универсальной учётной записи Microsoft Account и создать образ диска для последующего анализа. Поддерживается как моментальный сброс, так и восстановление оригинального пароля. С помощью Elcomsoft System Recovery можно предоставить административные привилегии любому пользователю. Продукт поставляется вместе с лицензионной загрузочной средой Windows PE.

Официальная страница Elcomsoft System Recovery »

Источник

При каждом включении компьютера владельцам компьютеров на базе операционной системы Windows 10 приходится вводить пароль, позволяющий авторизироваться в своей учетной записи и получить доступ ко всем данным. Эту процедуру также необходимо выполнять при изменении некоторых параметров ОС, поэтому иногда владельцам компьютеров на базе «десятой» винды приходится вводить пароль. Впрочем, теперь в этом нет необходимости, поскольку Microsoft выпустила новую версию операционной системы, в которой вообще никогда не нужно вводить пароль.

В последней сборке Windows 10 Inside, то есть бета-версии, появилась функция использования операционной системы без ввода пароля где-либо без ущерба для безопасности. Пока что воспользоваться новой возможностью могут лишь пользователи упрощенной Windows 10 S, однако в скором будущем она должна стать доступа и в простых версиях ОС, то есть редакциях Home и Pro.

Чтобы не вводить пароль при входе в свою учетную запись в Windows 10 необходимо установить на смартфон под управлением iOS или Android программу Microsoft Authenticator. После этого нужно настроить связь для работы функции аутентификации Windows Hello. Когда все сделано, а это занимает не более пяти минут, то пользователю больше никогда для подтверждения своей личности не потребуется вводить пароль от учетной записи.

Каждый раз, когда компьютер будет включаться, достаточно будет просто запустить приложение Authenticator на смартфоне и приложить палец к сканеру отпечатков пальцев, либо, если его нет, ввести короткий PIN-код, состоящие из нескольких цифр. Такой способ входа в операционную систему Windows 10 гораздо удобнее и проще, чем ввод сложного пароля, состоящего из символов, цифр и букв различных регистров.

Скорее всего, доступ к новой функции Windows 10, позволяющей отказаться от ввода пароля, появится в обновлении Redstone 4, хотя уже сейчас все желающие могут опробовать ее, установив последнюю тестовую сборку Windows 10 S в рамках инсайдерской программы, которую с момента выпуска этой ОС проводит Microsoft.

Ранее стали известны выхода апдейта Spring Creators Update (Redstone 4) для Windows 10 и новые возможности, которые он вместе с собой принесет.

Источник изображений: «Яндекс Картинки»

Присоединяйтесь к нам в Google News, Twitter, Facebook*, Instagram*, ВКонтакте, YouTube и RSS чтобы следить за новостями и оперативно получать интересные материалы.

* Сервисы признаны судом экстремистскими и запрещены в России.

Источник