如何穿过Windows10中的密码

微软

如何穿过windows10中的密码.jpg

 

密码难以记忆且容易丢失。无论是人们在多个站点上重复使用相同的弱密码,还是在不保护用户数据并在数据泄露中暴露用户名和密码的服务,简单的密码都无法提供足够的保护。这就是为什么windows10正朝着更安全的选择方向发展,例如生物识别,令牌和推送认证 - 包括支持新的FIDO 2互联网身份标准。

 

手指和脸

Windows Hello使指纹传感器和红外线面部识别相机等生物识别技术变得更加容易,使其成为您登录的标准方式的一部分,而不是让OEM将此功能添加到帐户流程中。

面部,手指和其他生物特征因素(如手部静脉打印)不能像密码一样进行网络钓鱼,也不会通过网络发送,也不会像密码一样在设备之间漫游。这意味着进入网络的攻击者无法从PC中获取和重用凭据来访问服务器。 Windows 10具有像Credential Guard这样的保护措施,通过运行以虚拟安全模式存储它们的LSA服务,使攻击者更难获取凭据。还有一个新的Cloud Credential Guard,可以使用TLS令牌绑定保护Azure AD令牌等云凭据。但是,切换到生物识别技术意味着凭证不会受到影响,因为它们不会来回发送。

使用Windows Hello注册指纹或面部等生物特征会创建一个加密密钥对,该密钥对存储在TPM(或软件TPM)中,并与Microsoft帐户和Azure Active Directory等身份服务一起使用。如果您在多台Windows PC上注册相同的指纹或面部,则每个设备都会创建一个唯一的密钥对 - 而不是第一个设备上的密钥对的副本。

你不会忘记密码的方式留下你的脸或指纹,但如果你的手指被割伤或者在异常黑暗或明亮的环境中工作,你仍然需要一种登录方式。面部识别相机无法清楚地看到你。无法识别的生物识别技术的后备仍称为PIN,但除了数字外,它还可以包含特殊字符以及密码等大写和小写字母。企业策略决定了PIN的复杂程度(Windows 10的家庭版只对您的PIN中的四位数字感到满意)。但事实是它们只存储在设备上(没有漫游到具有相同帐户的其他设备)并且仅用于解锁用于签署对服务器的请求的身份验证密钥(不是以密码的方式发送到服务器)使PIN比密码更安全。此外,PIN存储在TPM中,而密码则不存储。

如果您的PC没有面部相机或指纹传感器,您可以将其插入USB端口,或者您可以使用Nymi Band等“配套设备”使用您的心跳和ECG来识别您。

使用Windows 10的下一个版本,您将能够使用Windows Hello生物识别技术登录远程桌面会话。如果您使用生物识别技术登录Windows,则在打开RDP会话时将自动登录到远程桌面(尽管如果您需要在远程会话中确认Windows密码,例如提升对话框,必须输入PIN码。

但生物识别技术并不适用于所有情况或每个人。几乎所有生物识别,从指纹到手部静脉印刷到虹膜,仅适用于大约80%的人口。例如,一些中国老年妇女和在干洗店工作的人的指纹不能很好地扫描。更换密码是关于使用多种因素,包括其他设备。如果你有一个YubiKey用于Gmail,GitHub和DropBox等服务,你可以通过将它插入你的PC登录Windows Hello(你还需要YubiKey for Windows Hello应用程序)。

您可以使用带有短信的电话或验证器应用程序登录Windows,这种方式可以使用这种多因素身份验证来登录Twitter或Gmail更安全,但这并不是特别方便。当你离开它时使用手机锁定你的设备是很方便的;一旦您通过蓝牙将手机与PC配对,您可以使用动态锁定功能在超出范围时将其锁定。您可以在“设置”应用中的“帐户”>“登录”选项下启用该功能。管理员可以使用计算机配置管理模板 Windows组件 Windows Hello for Business 配置动态锁定因子组策略来设置PC锁定之前蓝牙信号的弱点。

访问:

微软官方原版镜像        免激活Win10纯净版

 

你是不是在找我?

到目前为止,Windows Hello仅处理了您的Windows密码,Microsoft Store以及您为Azure Active Directory单点登录而设置的所有服务。随着Windows 10的下一个版本,我们将最终看到更多的FIDO 2标准。直接支持FIDO 2安全密钥,如Yubikeys和智能卡(不需要每个单独密钥的特定应用程序),预览有限。

这不是对Windows Hello的重大更改,它是为早期版本的FIDO协议构建的;现在已经同意更新FIDO 2安全密钥标准和W3C Web身份验证API。这意味着具有FIDO 2安全密钥的用户可以登录任何Azure AD加入的PC,而无需先在其上设置帐户,这对于一线和移动工作人员来说是理想的选择。

这也意味着,随着浏览器的实施和网站采用新的WebAuthn API,Windows Hello也将能够开始替换浏览器中的密码,当网站支持时,使用生物识别技术或FIDO UAF安全密钥在没有密码的情况下登录。 WebAuthn还支持双因素U2F选项,您可以使用用户名和密码以及FIDO安全密钥或Windows Hello生物识别技术作为第二个因素。自2016年以来,Edge一直支持WebAuthn的预览版本;在构建17723(目前可供Windows Insiders使用)中,Edge支持API的候选推荐,但它不适用于基于Web的PWA或UWP应用程序。目前还没有很多网站支持WebAuthn,但您可以在此示例应用程序中试用它,并且有关于向您自己的内部网站添加WebAuthn支持的说明。

除了新的凭证外,Windows还将直接支持更多身份提供商。 Windows Hello适用于支持OAuth 2.0和OpenID Connect 1.0必要扩展的Azure AD,Active Directory和第三方联合服务器。在windows10的下一个版本中,Windows登录将支持SAML身份提供程序 - 而不仅仅是与ADFS和其他WS-Fed提供程序联合的身份。

您需要Azure AD才能使用此新Web登录,并且必须启用策略CSP /身份验证/ EnableWebSignIn组策略。这不太可能动摇企业中Active Directory的主导地位,但对于使用Oracle Identity Federation等SAML系统的组织来说,这些帐户显示为登录Windows的选项会更加方便。

相关文章