Вход в учетную запись Майкрософт с помощью Windows Hello или ключа безопасности

Если вам надоело вспоминать или сбрасывать пароль, попробуйте использовать Windows Hello или ключ безопасности, совместимый с платформой FIDO 2, для входа в свою учетную запись Майкрософт. Для этого вам понадобится только устройство с Windows 10 версии 1809 или выше и браузер Microsoft Edge. (Эта функция пока недоступна для консолей Xbox и телефонов.)

Что такое Windows Hello?

Windows Hello — это персонализированный способ входа с помощью функции распознавания лица, отпечатка пальца или ПИН-кода. Windows Hello можно использовать для входа на устройство с экрана блокировки и для входа в учетную запись в Интернете.

Что такое ключ безопасности?

Ключ безопасности — это физическое устройство, которое можно использовать вместо имени пользователя и пароля для входа в систему. Это может быть USB-ключ, который можно хранить в связке ключей, или NFC-устройство, например смартфон или карточка доступа. Он используется в дополнение к отпечатку пальца или ПИН-коду, поэтому даже если кто-либо получит ваш ключ безопасности, он не сможет войти в систему без вашего ПИН-кода или отпечатка пальца.

Ключи безопасности обычно можно приобрести в розничных магазинах, где продаются периферийные устройства для компьютеров.

Как выполнить вход с помощью Windows Hello

Выполните описанные ниже действия, чтобы настроить Windows Hello, а затем войдите в свою учетную запись Майкрософт в браузере Microsoft Edge.

Перейдите в меню Пуск и выберите Параметры .

Перейдите в раздел Учетные записи > Варианты входа.

В разделе Управление входом в устройство выберите пункт Windows Hello, чтобы добавить его.

Чтобы добавить Windows Hello в качестве способа входа для своей учетной записи Майкрософт:

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Выберите Используйте компьютер с Windows

Следуйте инструкциям в диалоговых окнах, чтобы настроить Windows Hello как способ входа в систему.

Как выполнить вход с помощью ключа безопасности

Существуют различные типы ключей безопасности, например USB-ключ, который подключается к устройству, или NFC-ключ, которым нужно коснуться NFC-сканера. Обязательно ознакомьтесь с типом своего ключа безопасности, прочитав прилагающееся к нему руководство от производителя.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности

Нажмите Добавьте новый способ входа или проверки

Определите тип ключа (USB или NFC) и нажмите Далее.

Запустится процесс настройки, в ходе которого нужно будет вставить ключ или коснуться им устройства.

Создайте ПИН-код (или введите существующий ПИН-код, если вы его уже создали).

Выполните следующее действие, коснувшись кнопки или золотого диска на своем ключе (или прочтите руководство, чтобы узнать, какое действие требуется).

Присвойте ключу безопасности имя, чтобы его можно было отличить от других ключей.

Выйдите из своей учетной записи и откройте Microsoft Edge, выберите Использовать Windows Hello или ключ безопасности, затем вставьте ключ или коснитесь им устройства, чтобы выполнить вход.

Примечание: Производитель ключа безопасности может предоставить программное обеспечение, которое позволяет управлять ключом, например менять ПИН-код или создавать отпечаток пальца.

Управление ключами

Выполните описанные ниже действия, чтобы удалить ключи, настроенные для вашей учетной записи.

Откройте страницу учетной записи Майкрософт и выполните вход обычным способом.

Выберите Безопасность > Расширенные параметры безопасности, затем в разделе Windows Hello и ключи безопасности нажмите Управление способами входа.

Почему ПИН-код лучше пароля Why a PIN is better than a password

Область применения Applies to

Windows Hello в Windows 10 позволяет пользователям войти на свое устройство с помощью ПИН-кода. Windows Hello in Windows10 enables users to sign in to their device using a PIN. В чем заключаются отличия ПИН-кода от пароля и его преимущества? How is a PIN different from (and better than) a password? На первый взгляд, ПИН-код во многом аналогичен паролю. On the surface, a PIN looks much like a password. ПИН-код может представлять собой набор цифр, однако политикой предприятия может быть разрешено использование сложных ПИН-кодов, содержащих специальные знаки и буквы как в верхнем, так и в нижнем регистре. A PIN can be a set of numbers, but enterprise policy might allow complex PINs that include special characters and letters, both upper-case and lower-case. Например, значение t758A! Something like t758A! может использоваться в качестве пароля учетной записи или сложного ПИН-кода в Hello. could be an account password or a complex Hello PIN. Преимущества ПИН-кода в сравнении с паролем связаны не с его структурой (длиной и сложностью), а с принципом работы. It isn’t the structure of a PIN (length, complexity) that makes it better than a password, it’s how it works.

Посмотрите, как Дана Гуанг объясняет, почему ПИН-код Windows Hello для бизнеса более безопасный, чем пароль. Watch Dana Huang explain why a Windows Hello for Business PIN is more secure than a password.

ПИН-код привязан к устройству PIN is tied to the device

Важным различием между паролем и ПИН-кодом Hello является привязка ПИН-кода к конкретному устройству, на котором он был задан. One important difference between a password and a Hello PIN is that the PIN is tied to the specific device on which it was set up. ПИН-код не может использоваться без конкретного оборудования. That PIN is useless to anyone without that specific hardware. Злоумышленник, получивший доступ к паролю, может войти в учетную запись с любого устройства, но в случае кражи ПИН-кода вход в учетную запись будет невозможен без доступа к соответствующему устройству. Someone who steals your password can sign in to your account from anywhere, but if they steal your PIN, they’d have to steal your physical device too!

Даже сам пользователь сможет выполнить вход с помощью ПИН-кода только на конкретном устройстве. Even you can’t use that PIN anywhere except on that specific device. Чтобы выполнять вход на нескольких устройствах, потребуется настроить Hello на каждом из них. If you want to sign in on multiple devices, you have to set up Hello on each device.

ПИН-код хранится на устройстве локально PIN is local to the device

Пароль передается на сервер и может быть перехвачен в процессе передачи или украден с сервера. A password is transmitted to the server — it can be intercepted in transmission or stolen from a server. ПИН-код задается на устройстве на локальном уровне, не передается и не хранится на сервере. A PIN is local to the device — it isn’t transmitted anywhere and it isn’t stored on the server. При создании ПИН-кода устанавливаются доверительные отношения с поставщиком удостоверений и создается пара асимметричных ключей, используемых для проверки подлинности. When the PIN is created, it establishes a trusted relationship with the identity provider and creates an asymmetric key pair that is used for authentication. При вводе ПИН-кода ключ проверки подлинности разблокируется и используется для подтверждения запроса, отправляемого на сервер для проверки подлинности. When you enter your PIN, it unlocks the authentication key and uses the key to sign the request that is sent to the authenticating server.

Подробную информацию об использовании пар ассиметричных ключей для проверки подлинности в Hello см. в разделе Windows Hello для бизнеса. For details on how Hello uses asymetric key pairs for authentication, see Windows Hello for Business.

ПИН-код поддерживается оборудованием PIN is backed by hardware

ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. The Hello PIN is backed by a Trusted Platform Module (TPM) chip, which is a secure crypto-processor that is designed to carry out cryptographic operations. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM. Все телефоны Windows 10 Mobile и множество современных ноутбуков имеют TPM. All Windows10 Mobile phones and many modern laptops have TPM.

Материал ключа пользователя создается и становится доступным в доверенном платформенном модуле (TPM) на устройстве пользователя, что защищает материал от перехвата и использования злоумышленниками. User key material is generated and available within the Trusted Platform Module (TPM) of the user device, which protects it from attackers who want to capture the key material and reuse it. Так как Hello использует пары асимметричных ключей, учетные данные пользователей не могут быть украдены в случаях, когда поставщик удостоверений или веб-сайты, к которые пользователь получает доступ, были скомпрометированы. Because Hello uses asymmetric key pairs, users credentials can’t be stolen in cases where the identity provider or websites the user accesses have been compromised.

TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора ПИН-кода. The TPM protects against a variety of known and potential attacks, including PIN brute-force attacks. После определенного количества попыток ввода неправильного ПИН-кода устройство блокируется. After too many incorrect guesses, the device is locked.

ПИН-код может быть сложным PIN can be complex

К ПИН-коду Windows Hello для бизнеса применяется тот же набор политик управления ИТ, что и к паролю, в том числе сложность, длина, срок действия и журнал изменений. The Windows Hello for Business PIN is subject to the same set of IT management policies as a password, such as complexity, length, expiration, and history. Несмотря на уверенность большинства пользователей в том, что ПИН-код представляет собой простой код из 4 цифр, администраторы могут устанавливать для управляемых устройств политики , предполагающие уровень сложности ПИН-кода, сопоставимый с паролем. Although we generally think of a PIN as a simple four-digit code, administrators can set policies for managed devices to require a PIN complexity similar to a password. Вы можете сделать обязательными или запретить специальные знаки, буквы в верхнем и нижнем регистрах, а также и цифры. You can require or block: special characters, uppercase characters, lowercase characters, and digits.

Что произойдет в случае кражи ноутбука или телефона? What if someone steals the laptop or phone?

Чтобы скомпрометировать учетные данные Windows Hello, защищенные TPM, злоумышленник должен иметь доступ к физическому устройству, а затем найти способ подмены биометрических данных пользователя или угадать свой ПИН-код. Все это необходимо сделать, прежде чем защита от взлома TPM заблокировит устройство. To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user’s biometrics or guess his or her PIN—and all of this must be done before TPM anti-hammering protection locks the device. Для ноутбуков, не имеющих TPM, можно настроить дополнительную защиту, активировав BitLocker и ограничив количество неудачных попыток входа в систему. You can provide additional protection for laptops that don’t have TPM by enabling BitLocker and setting a policy to limit failed sign-ins.

Настройка BitLocker без TPM Configure BitLocker without TPM

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Шифрование диска BitLocker > Диски операционной системы > Обязательная дополнительная проверка подлинности при запуске Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Require additional authentication at startup

В параметрах политики выберите Разрешить использование BitLocker без совместимого TPM, а затем нажмите кнопку ОК. In the policy option, select Allow BitLocker without a compatible TPM, and then click OK.

Перейдите в меню Панель управления > Система и безопасность > Шифрование диска BitLocker и выберите диск с операционной системой, который требуется защитить. Go to Control Panel > System and Security > BitLocker Drive Encryption and select the operating system drive to protect. Установка порога блокировки учетной записи Set account lockout threshold

С помощью редактора локальных групповых политик (gpedit.msc) активируйте следующую политику: Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

Конфигурация компьютера > Параметры Windows > Параметры безопасности > Политики учетных записей > Политика блокировки учетных записей > Порог блокировки учетной записи Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy > Account lockout threshold

Установите допустимое количество неудачных попыток входа в систему и нажмите кнопку «ОК». Set the number of invalid logon attempts to allow, and then click OK.

Почему для использования биометрии нужен ПИН-код? Why do you need a PIN to use biometrics?

Windows Hello включает биометрический вход в Windows 10: отпечаток пальца, радужной оболочки радужной оболочки или распознавание лиц. Windows Hello enables biometric sign-in for Windows10: fingerprint, iris, or facial recognition. При первоначальной настройке Windows Hello предлагается создать ПИН-код. When you set up Windows Hello, you’re asked to create a PIN first. Этот PIN-код позволяет войти в систему с помощью ПИН-кода, если вы не можете использовать предпочтительный биометрический метод из-за повреждения или из-за недоступности или неправильной работы датчика. This PIN enables you to sign in using the PIN when you can’t use your preferred biometric because of an injury or because the sensor is unavailable or not working properly.

Если вы настроите только биометрические данные для входа в систему и не сможете по какой-либо причине выполнить вход с их использованием, вы должны будете ввести имя и пароль от учетной записи, что менее безопасно, чем вход с помощью Hello. If you only had a biometric sign-in configured and, for any reason, were unable to use that method to sign in, you would have to sign in using your account and password, which doesn’t provide you the same level of protection as Hello.