Возможности входа в Windows 10 и защита учетных записей

Чтобы получить доступ к возможностям входа в систему, выберите Пуск > Параметры > Учетные записи > Варианты входа. На странице «Варианты входа» доступны следующие методы входа.

Распознавание лиц Windows Hello

Распознавание отпечатков пальцев Windows Hello

ПИН-код Windows Hello

Также вы увидите следующие параметры.

Требуется вход — требует входа в систему на устройстве после отсутствия.

Динамическая блокировка — автоматически блокирует устройство в ваше отсутствие.

Конфиденциальность — показывает или скрывает личную информацию на экране входа в систему и позволяет устройству использовать ваше данные для входа, чтобы повторно открывать ваши приложения после обновления или перезапуска.

Изменение пароля или управление им

Чтобы изменить пароль, выберите Пуск > Параметры > Учетные записи > Варианты входа. Выберите Пароль, а затем — Изменить.

Примечание: Чтобы изменить пароль, если вы находитесь в домене, нажмите клавиши CTRL+ALT+DEL и выберите Изменить пароль.

Windows Hello

Функция Windows Hello позволяет осуществлять вход в устройства, приложения, веб-службы и сети путем распознавания вашего лица, радужной оболочки глаза или отпечатков пальцев, а также с помощью ПИН-кода. Несмотря на то, что ваше устройство с Windows 10 поддерживает биометрическую функцию Windows Hello, вам необязательно ее использовать. Если вы решите этого не делать, вы можете быть уверены, что информация, позволяющая идентифицировать ваше лицо, радужную оболочку или отпечаток пальца останется только на вашем устройстве. Windows не хранит изображения вашего лица, радужной оболочки глаз и отпечатков пальцев на телефоне или где-либо еще.

Какие данные собираются и почему

При настройке биометрической функции Windows Hello она получает данные от камеры для автопортретов, датчика радужной оболочки или отпечатка пальца и создает представление данных, то есть график, который зашифровывается перед сохранением на устройстве.

Для того, чтобы обеспечить правильную работу, определение и предотвращение мошенничества и продолжить улучшать Windows Hello, мы собираем диагностические данные о том, как люди используют эту функцию. Например, данные о том, осуществляют ли пользователи проверку подлинности с помощью лица, радужной оболочки, отпечатка пальца или PIN-кода и количестве успешных и неудачных попыток проверки подлинности, представляют собой ценную информацию, которая помогает нам улучшить продукт. Данным присваивается псевдоним, в их состав не входят биометрические данные, и они шифруются перед передачей в корпорацию Майкрософт. Вы можете в любой момент времени отключить отправку диагностических данных в корпорацию Майкрософт. Подробнее о диагностических данных в Windows 10

Управление функцией Windows Hello

Чтобы включить функцию Windows Hello, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа и выберите метод Windows Hello, который требуется настроить, а затем нажмите Настроить. Если вы не видите пункт Windows Hello в разделе «Варианты входа», эта функция может быть недоступна на вашем устройстве.

Чтобы удалить функцию Windows Hello и все связанные с ней биометрические идентификационные данные с устройства, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа. Выберите метод Windows Hello, который требуется удалить, и нажмите Удалить.

Использование ключа безопасности

Ключ безопасности — это устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему в Интернете. Так как он используется в дополнение к отпечатку пальца или PIN-коду, даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без заданного вами PIN-кода или отпечатка пальца. Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров. Подробнее о ключах безопасности

Для настройки ключа безопасности выберите Пуск > Параметры > Учетные записи > Варианты входа и нажмите Ключ безопасности. Выберите Управление и следуйте инструкциям.

Блокировка устройства

Если вам нужно отойти от своего устройства на несколько минут, рекомендуется заблокировать его, чтобы посторонние люди не могли увидеть содержимое вашего экрана или получить к нему доступ. Нажмите клавишу Windows + L , чтобы быстро заблокировать его. По возвращении вам потребуется лишь пройти проверку подлинности, и вы сможете продолжить работу с того места, где остановились.

Динамическая блокировка

Windows может использовать устройства, которые связаны с вашим компьютером, чтобы определять, когда вы отошли от компьютера, и автоматически блокировать компьютер сразу после того, как вы выйдете за пределы зоны действия Bluetooth со связанным устройством. Это затрудняет получение доступа к вашему устройству, если вы отойдете от компьютера и забудете его блокировать.

На компьютере с Windows 10 выберите Пуск > Параметры > Учетные записи > Варианты входа.

В разделе Динамическая блокировка установите флажок Разрешить Windows автоматически блокировать устройство в ваше отсутствие.

Используйте Bluetooth, чтобы связать телефон с компьютером. Узнайте о том, как связать устройства через Bluetooth

Когда устройства будут связаны и вы решите уйти, возьмите свой телефон с собой и ваш компьютер будет автоматически заблокирован в течение минуты после выхода за пределы диапазона действия Bluetooth.

Другие варианты входа в систему

Управление временем входа в систему

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Требуется вход выберите подходящий вариант для тех случаев, когда Windows будет требовать от вас снова войти в систему.

Отображение сведений об учетной записи на экране входа в систему

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите первый параметр, если требуется отображать сведения об учетной записи на экране входа.

Автоматическое завершение настройки после обновления

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите второй параметр, если вы хотите использовать данные для входа, чтобы автоматически завершить настройку устройства после обновления или перезапуска.

Аутентификация в Windows 10

Сегодня только ленивый не слышал о проблеме паролей. Но, увы, пользователи свои пароли регулярно забывают либо выбирают их чрезвычайно легкими для последующего взлома. С целью создания удобств аутентификации для пользователей в Windows 10 применяются те же методы, что и в Windows 8. То есть выбор графического пароля и биометрическая аутентификация.

Вместе с тем необходимо отметить, что несмотря на удобство биометрической аутентификации она, на мой взгляд, остается все же скорее именно удобством, а не самостоятельным методом. Почему?

Да потому, что при создании нового пользователя в системе мы, как обычно, должны вначале ввести его пароль и лишь затем приступить к биометрической аутентификации. Нельзя сделать вход в операционную систему без ввода пароля, используя только средства биометрии. Кроме того, стоит вспомнить и о недостатках биометрической аутентификации. Поговорим об этом немного подробнее.

Для аутентификации в Windows 10 применяется учетная запись от Microsoft. При этом данная учетная запись характеризуется двумя параметрами — именем пользователя (логин) и паролем. Если для входа на сайт и OneDrive вы используете двухэтапную аутентификацию, то при первом входе в систему от вас потребуют и получение кода в виде SMS-сообщения или другим удобным вам способом.

Некоторым пользователям не очень-то удобно каждый раз набирать пароль (или они его забывают по какой-то причине). Для них еще в Windows 8 были придуманы следующие способы аутентификации:

• биометрическая аутентификация (по отпечатку пальца; сегодня сюда добавляется сканирование радужной оболочки глаза).

Однако стоит отметить, что все эти способы — лишь удобство. И применить их без обычного пароля невозможно!

Биометрическая аутентификация в Windows 10

Для того чтобы использовать биометрическую аутентификацию, вы должны выбрать: Пуск — Параметры — Учетные записи — Параметры входа — Отпечаток пальца.

После этого вам предложат отсканировать отпечатки ваших пальцев. Чтобы использовать отпечаток пальца, сначала необходимо вначале четыре раза добавить его в базу для запоминания, а затем проделать ту же операцию в открывшемся новом окне еще четыре раза. Таким образом, сканирование каждого пальца придется выполнить восемь раз. Не поленитесь сделать это для всех десяти пальцев. Ведь вполне возможна ситуация, когда по какой-то причине (загрязненный датчик, порез на пальце и т. д.) отпечаток просто не распознается.

К недостаткам биометрической аутентификации по отпечаткам пальцев, без сомнения, можно отнести тот факт, что большинство используемых сегодня на ПК и планшетах сканеров довольно легко можно скомпрометировать муляжами. А изготовить муляж отпечатка совсем просто.

Кроме того, использование биометрических сканеров для аутентификации, на мой взгляд, опасно еще и тем, что сам цифровой «отпечаток» при этом хранится на ПК локально и теоретически есть возможность его хищения.

Если вы по какой-то причине не можете войти в свою учетную запись с помощью отпечатка пальца, вы всегда можете набрать свой пароль.

Графический пароль

Выберите вариант «Графический пароль». В появившемся окне вначале нужно выбрать базовый экран (фотографию), который будет служить основой для пароля. Далее необходимо с помощью жестов, то есть касаясь экрана пальцами или двигая мышью, «нарисовать» на экране комбинацию окружностей, прямых линий и других геометрических элементов.

При этом вы можете выбрать на экране замкнутую область или соединить пару произвольных точек. Проделайте это трижды. Теперь ваш пароль готов, и вы можете использовать его для аутентификации. Вместе с тем стоит учесть, что уже известны случаи успешных атак на графический пароль.

До недавних пор атака на такие пароли считалась невозможной, т. е. осуществить атаку перебором (brute force) не представлялось возможным, поскольку пользователь, как правило, рисует пальцем или курсором мыши произвольную фигуру на произвольной фотографии.

Ученые из университетов Аризоны и Делавэра, а также исследователи из GFS Technology нашли способ взлома графических паролей. Для осуществления атаки brute force они применили систему распознавания образов и разработали специальное приложение, перебирающее варианты в порядке снижения их вероятности. Как правило, на изображениях людей пользователь чаще всего отмечает или обводит глаза и носы, далее в порядке убывания частоты использования следуют руки и пальцы, рты и челюсти, лица и головы.

Данный способ взлома пароля срабатывает на фотографиях весьма успешно. Стоит отметить, что системы справляются с определением графического пароля даже на портретах, где кроме лица запечатлены и нестандартные объекты.

Как работает графический пароль

После того как вы выбрали изображение, на нем формируется сетка. Самая длинная сторона изображения разбивается на сто сегментов, затем разбивается короткая сторона на столько же сегментов и создается сетка, по которой рисуются жесты. Отдельные точки ваших жестов определяются их координатами (X, Y) на сетке. Для линии запоминаются начальные и конечные координаты и их порядок, с помощью которого определяется направление рисования линии. Для окружности запоминаются координаты точки центра, радиус и направление. Для касания запоминаются координаты точки касания.

При попытке регистрации с помощью графического пароля введенные жесты сравниваются с набором жестов, введенных при настройке графического пароля. Рассматривается разница между каждым жестом и принимается решение об успешности проверки подлинности на основе найденного количества ошибок. Если тип жеста неправильный (скажем, должен быть круг, а вместо него линия), проверка подлинности не будет пройдена. Если типы жестов, порядок ввода и направления совпадают, проверяется, насколько эти жесты отличаются от введенных ранее, и принимается решение о прохождении проверки подлинности.

Безопасность и подсчет жестов

Использование трех жестов обеспечивает значительное количество уникальных комбинаций жестов и такую же надежность, как пароль из пяти-шести случайно выбранных знаков. Уточню еще раз: графический пароль добавлен в качестве способа регистрации в системе как дополнение к текстовому паролю, а не вместо него!

Что нужно учесть

Аутентификация в Windows 10 возможна и с помощью учетной записи Live ID, биометрической аутентификации, а также кода PIN. В более старых версиях операционной системы пароль на домашних компьютерах хранился в файле SAM. Соответственно для его компрометации злоумышленнику нужен был физический доступ к системе и привилегии SYSTEM. Что же получается сегодня? С выходом Windows 10 потенциальному злоумышленнику куда легче будет взломать систему, потому что в системе аутентификации появились новые слабые звенья. Естественно, хакеру потребуется просто найти наиболее уязвимое из них.

Возьмем, например, регистрацию в системе с помощью Live ID. Для конечного пользователя это несомненное удобство: забыл пароль — зашел на сайт Live ID с другого компьютера, воспользовался услугой смены пароля, и можно регистрироваться на своем компьютере с новым паролем. Но это и повышает шансы злоумышленников. Опять-таки пользователь будет работать за другим компьютером, пароль к Live ID может храниться вместе с остальными паролями в браузере и т. д. И что самое интересное, и пароль Live ID, и ПИН-код, и графический пароль, и биометрический — всё это используется для дополнительного хранения и шифрования обычного пароля с целью регистрации в системе.

Поясню, почему эти звенья связаны с обычным паролем. Если пользователь выбрал аутентификацию по графическому паролю, то, в сущности, сам графический пароль применяется в качестве ключа для хранения и шифрования пароля обычного. Таким образом получается, что кроме SAM обычный пароль будет храниться еще в одном месте. Если пользователь выбрал регистрацию с Live ID, то обычный пароль (текстовый, но зашифрованный с помощью Live ID) будет храниться в третьем месте и т. д.

Учетная запись на базе Live ID более защищена. Пароль в текстовом виде уже не хранится. В SAM хотя и хранится хэш пароля Live ID, но он используется для расшифровки другого реального хэша. То есть, например, все пароли DPAPI, EFS, сертификаты шифруются на базе реального хэша, а не того, что в SAM. А реальный хэш уже шифруется более стойким алгоритмом pbkdf2 (SHA256) c несколькими тысячами итераций. Так что защита заметно усилилась. Думаю, в будущих версиях Windows потихоньку перейдут на этот тип, поскольку их обычный хэш SAM перебирается уже со скоростью миллиардов паролей в секунду.

Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.