Безопасность Windows 10: Отказ от паролей в May 2020 Update

Следующее обновление функций Windows 10 May 2020 Update, которое ожидается в период с 26 по 28 мая, будет поставляться с большим количеством улучшений — от функции «Загрузка из облака» для переустановки системы, оптимизации производительности, новой подсистемы Windows для Linux (WSL 2) – до улучшений Bluetooth-соединений и поиска Windows.

Кроме того, Microsoft внесет изменения в ряд параметров безопасности – в том числе «Защита на основе репутации» и блокировка ПНП, а также компания предложит пользователям заменить пароли на ПИН-коды. Если ознакомиться с информацией по сборке Insider Preview build 18936, то становится ясно, что Microsoft продолжает следовать своей идеологии полного отказа от паролей.

Замена паролей на ПИН-коды

В заметках к релизу к сборке Windows 10 20H1 build 18936 содержится информация о том, как Редмонд предлагает входить в учетные записи Microsoft без паролей. Эта необязательная опция доступна в меню «Параметры > Учетные записи > Варианты входа». Опция получила название «Требовать выполнение входа с помощью Windows Hello для учетных записей Майкрософт» (первоначально «Настроить работу устройства без пароля»), и, по мнению Microsoft, она обеспечивает более безопасный вход в систему.

В документации сообщается, как компания собирается отказаться от паролей:

Данная опция упростит процедуру аутентификации, переключив все учетные записи Microsoft на вашем устройстве на современную многофакторную аутентификацию Windows Hello с использованием распознавания лица, отпечатка пальца или ПИН-кода.

Опция использования входа Windows Hello для учетных записей Microsoft будет рекомендуемым вариантом.

В Windows 10 build 18995 (20H1) было представлено еще одно улучшение. Microsoft добавила поддержку ПИН-кода Windows Hello для входа в систему в безопасном режиме.

ПИН-код безопаснее, чем пароль?

У обычного пользователя могут возникать сомнения: как ПИН-код может быть более безопасным, чем пароль? Ответ тут заключается в контексте использования. Конечно, в общем смысле, 4-х значный ПИН-код по определению не может быть более безопасным, чем сложный пароль, состоящий из 25 символов.

Однако, ПИН-код привязан к конкретному устройству, на котором он был установлен. ПИН-код бесполезен для всех, кто не владеет этим конкретным устройством. Другими словами, ПИН-код выступает в роли второго фактора, тогда как первый фактор — это физический доступ к самому устройству Windows 10.

Если кто-то скомпрометирует пароль от вашего аккаунта Microsoft, он не сможет авторизоваться на компьютере из любой точки мира. Даже если злоумышленник сможет угадать или украсть ПИН-код, ему все-равно понадобится физический доступ к самому устройству. Сам ПИН-код никогда не передается на сервер и хранится на локальной машине, поэтому его нельзя перехватить или украсть со взломанного удаленного сервера. Таким образом, ПИН-код скорее делает ваше устройство более безопасным, чем защищает учетную запись Microsoft, хотя это взаимосвязано.

Смелый шаг в правильном направлении

Директор по информационной безопасности из компании Cyjax (технологическая компания-поставщик услуг по анализу цифровых угроз для международных корпораций) Ян Торнтон-Трамп (Ian Thornton-Trump) сообщил:

На мой взгляд, идея разделения аутентификации физического доступа и аутентификации доступа к сети является действительно хорошей идеей.

Это отличный способ уменьшить вектор удаленной атаки. Посмотрим, как исследователи примут новую функцию, но я думаю, что это смелый шаг в правильном направлении.

Отметка Требовать ввод имени пользователя и пароля отсутствует в Windows 10 — как исправить?

При использовании инструкции как отключить запрос пароля при входе в Windows 10 в последних версиях системы вы можете столкнуться с тем, что в окне, где отключается запрос пароля нет отметки «Требовать ввод имени пользователя и пароля», а потому воспользоваться способом не получается.

Исправить это очень легко и ниже — два способа вернуть «галочку» в окно управления учетными записями пользователя, открываемого с помощью Win+R — control userpasswords2. Также может интересным: Как отключить ПИН-код и запрос на создание ПИН-кода Windows 10.

Два способа вернуть «Требовать ввод имени пользователя и пароля» в окне «Учетные записи пользователей» Windows 10

Рассматриваемая в статье отметка пропадает, если в Windows 10 включена опция «Требовать выполнение входа с помощью Windows Hello для учетных записей Майкрософт». Если её отключить — появится и возможность снятия галочки «Требовать ввод имени пользователя и пароля»:

1. Зайдите в Параметры (клавиши Win+I) — Учетные записи.
2. Перейдите в раздел «Варианты входа».
3. Отключите опцию «Требовать выполнение входа с помощью Windows Hello для учетных записей Майкрософт».

В некоторых случаях этот пункт может отсутствовать в указанном разделе параметров, в этом случае выполните следующие действия:

1. Запустите редактор реестра (Win+R — regedit) и перейдите в следующий раздел (если он отсутствует, создайте такой раздел):
2. В этом разделе создайте параметр DWORD с именем DevicePasswordLessBuildVersion и значением 0 (ноль).

Обычно перезагрузка не требуется — если вы снова запустите control userpasswords2, вы увидите, что настройка «Требовать ввод имени пользователя и пароля» присутствует в окне и доступно её изменение.

Видео

В случае, если остаются вопросы — задавайте в комментариях, я постараюсь помочь.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

18.09.2020 в 20:10

Спасибо! Помог вариант с реестром. Windows 10 ver 2004

23.09.2020 в 18:39

Как раз сейчас на работе завезли кучку ноутов и системников, и эта проблема возникла. Помог способ с реестром, только раздел и параметр там уже были, изменил значение с 2 на 0. Спасибо!

30.09.2020 в 05:08

Спасибо! Помог вариант с отменой ПИНа (Windows Hello). Win10_2004

24.11.2020 в 09:41

Помогло вариант с реестром !
Спасибо за труд! Крутой сайт !
DevicePasswordLessBuildVersion и значением 0

31.01.2021 в 17:40

11.02.2021 в 10:56

Win10, ver 20H2. Помог способ с реестром, только раздел и параметр там уже были, изменил значение с 2 на 0. Спасибо!

16.02.2021 в 14:33

Как всегда Вы самый лучший! Спасибо Вам !

17.02.2021 в 11:50

Добрый день, спасибо, ваш рецепт помог, только проблема была совсем другая, а описанный в статье материал помог!

Дано: ребенок заблокировал свою, а заодно и мою учетную запись (обе не локальные (это важно), а сетевые, с Live ID аутентификацией на Microsoft) на win 10, видимо неправильно введя много раз ПИН-код.

При попытке ввода кода появлялась надпись: «Этот вариант входа отключен из за неудачных попыток входа или повторяющего завершения работы используйте другой вариант входа или не выключайте устройство минимум 2 часа и повторите попытку» . Ожидание ни к чему не приводило, т.к. ноут засыпал. Самое главное, что при попытке выбрать другой вариант входа были доступны только сканер отпечатка пальца и ПИН-код, ввода пароля не было.

Пришлось через режим восстановления через CMD восстановить локальную учетную запись администратора, потом снять галочку «Требовать ввода пароля для входа в систему» в этой статье и выйти из учетки локального администратора. После этого появился вариант входа через пароль для обоих учетных записей, и поочередно войдя в них и сбросив ПИН-код, все заработало)

26.02.2021 в 19:04

Здравствуйте! А 32 bit для dword — это ничего? Я просто пользователь, и для меня уже само по себе «создать параметр» всё равно что «запустите реактор», а иначе мне бы не пришлось искать ответ на Вашем сайте) я боюсь ошибиться и остаться один на один с заблокированным ноутом( спасибо.

27.02.2021 в 09:26

Здравствуйте.
Да, это нормально, даже если система 64-бит.

Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности

Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 10 версии 1809 или выше и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)

Что такое Windows Hello?

Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.

Что такое ключ безопасности?

Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.

Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.

Как выполнить вход с помощью Windows Hello

Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.

Перейдите в меню Пуск и выберите Параметры .

Перейдите в раздел Учетные записи > Варианты входа.

В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.

Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Выберите Используйте компьютер с Windows

Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.

Как выполнить вход с помощью ключа безопасности

Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Определите тип ключа (USB или NFC) и нажмите Далее.

Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.

Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).

Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).

Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.

Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.

Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.

Управление ключами

Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности, затем в разделе Windows Hello и ключи безопасности нажмите Управление способами входа.

Возможности входа в Windows 10 и защита учетных записей

Чтобы получить доступ к возможностям входа в систему, выберите Пуск > Параметры > Учетные записи > Варианты входа. На странице «Варианты входа» доступны следующие методы входа.

Распознавание лиц Windows Hello

Распознавание отпечатков пальцев Windows Hello

ПИН-код Windows Hello

Также вы увидите следующие параметры.

Требуется вход — требует входа в систему на устройстве после отсутствия.

Динамическая блокировка — автоматически блокирует устройство в ваше отсутствие.

Конфиденциальность — показывает или скрывает личную информацию на экране входа в систему и позволяет устройству использовать ваше данные для входа, чтобы повторно открывать ваши приложения после обновления или перезапуска.

Изменение пароля или управление им

Чтобы изменить пароль, выберите Пуск > Параметры > Учетные записи > Варианты входа. Выберите Пароль, а затем — Изменить.

Примечание: Чтобы изменить пароль, если вы находитесь в домене, нажмите клавиши CTRL+ALT+DEL и выберите Изменить пароль.

Windows Hello

Функция Windows Hello позволяет осуществлять вход в устройства, приложения, веб-службы и сети путем распознавания вашего лица, радужной оболочки глаза или отпечатков пальцев, а также с помощью ПИН-кода. Несмотря на то, что ваше устройство с Windows 10 поддерживает биометрическую функцию Windows Hello, вам необязательно ее использовать. Если вы решите этого не делать, вы можете быть уверены, что информация, позволяющая идентифицировать ваше лицо, радужную оболочку или отпечаток пальца останется только на вашем устройстве. Windows не хранит изображения вашего лица, радужной оболочки глаз и отпечатков пальцев на телефоне или где-либо еще.

Какие данные собираются и почему

При настройке биометрической функции Windows Hello она получает данные от камеры для автопортретов, датчика радужной оболочки или отпечатка пальца и создает представление данных, то есть график, который зашифровывается перед сохранением на устройстве.

Для того, чтобы обеспечить правильную работу, определение и предотвращение мошенничества и продолжить улучшать Windows Hello, мы собираем диагностические данные о том, как люди используют эту функцию. Например, данные о том, осуществляют ли пользователи проверку подлинности с помощью лица, радужной оболочки, отпечатка пальца или PIN-кода и количестве успешных и неудачных попыток проверки подлинности, представляют собой ценную информацию, которая помогает нам улучшить продукт. Данным присваивается псевдоним, в их состав не входят биометрические данные, и они шифруются перед передачей в корпорацию Майкрософт. Вы можете в любой момент времени отключить отправку диагностических данных в корпорацию Майкрософт. Подробнее о диагностических данных в Windows 10

Управление функцией Windows Hello

Чтобы включить функцию Windows Hello, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа и выберите метод Windows Hello, который требуется настроить, а затем нажмите Настроить. Если вы не видите пункт Windows Hello в разделе «Варианты входа», эта функция может быть недоступна на вашем устройстве.

Чтобы удалить функцию Windows Hello и все связанные с ней биометрические идентификационные данные с устройства, перейдите в меню Пуск > Параметры > Учетные записи > Параметры входа. Выберите метод Windows Hello, который требуется удалить, и нажмите Удалить.

Использование ключа безопасности

Ключ безопасности — это устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему в Интернете. Так как он используется в дополнение к отпечатку пальца или PIN-коду, даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без заданного вами PIN-кода или отпечатка пальца. Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров. Подробнее о ключах безопасности

Для настройки ключа безопасности выберите Пуск > Параметры > Учетные записи > Варианты входа и нажмите Ключ безопасности. Выберите Управление и следуйте инструкциям.

Блокировка устройства

Если вам нужно отойти от своего устройства на несколько минут, рекомендуется заблокировать его, чтобы посторонние люди не могли увидеть содержимое вашего экрана или получить к нему доступ. Нажмите клавишу Windows + L , чтобы быстро заблокировать его. По возвращении вам потребуется лишь пройти проверку подлинности, и вы сможете продолжить работу с того места, где остановились.

Динамическая блокировка

Windows может использовать устройства, которые связаны с вашим компьютером, чтобы определять, когда вы отошли от компьютера, и автоматически блокировать компьютер сразу после того, как вы выйдете за пределы зоны действия Bluetooth со связанным устройством. Это затрудняет получение доступа к вашему устройству, если вы отойдете от компьютера и забудете его блокировать.

На компьютере с Windows 10 выберите Пуск > Параметры > Учетные записи > Варианты входа.

В разделе Динамическая блокировка установите флажок Разрешить Windows автоматически блокировать устройство в ваше отсутствие.

Используйте Bluetooth, чтобы связать телефон с компьютером. Узнайте о том, как связать устройства через Bluetooth

Когда устройства будут связаны и вы решите уйти, возьмите свой телефон с собой и ваш компьютер будет автоматически заблокирован в течение минуты после выхода за пределы диапазона действия Bluetooth.

Другие варианты входа в систему

Управление временем входа в систему

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Требуется вход выберите подходящий вариант для тех случаев, когда Windows будет требовать от вас снова войти в систему.

Отображение сведений об учетной записи на экране входа в систему

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите первый параметр, если требуется отображать сведения об учетной записи на экране входа.

Автоматическое завершение настройки после обновления

Выберите Пуск > Параметры > Учетные записи > Варианты входа. В разделе Конфиденциальность включите второй параметр, если вы хотите использовать данные для входа, чтобы автоматически завершить настройку устройства после обновления или перезапуска.