Как вы знаете, компания Microsoft в своих операционных системах Windows предоставляет пользователю для проверки подлинности при попытке регистрации в системе возможность использовать несколько различных методов. К таким методам относятся выполнение регистрации в локальной системе или в доменной сети посредством ввода имени учетной записи и специально сгенерированного пароля. В этом случае пользователю будет предоставлен доступ к ресурсам локального компьютера и, при регистрации в домене, к ресурсам, расположенным на локальном компьютере и в домене. Естественно, для выполнения регистрации в домене пользователь должен иметь соответствующую доменную учетную запись. Более того, для регистрации в системе c доменной учетной записью пользователи могут задействовать смарт-карты. Этот метод проверки подлинности требует наличия секретных криптографических ключей.
В операционной системе Windows 7 предусмотрена проверка подлинности с помощью биометрии. Ее параметры считывают сканеры отпечатков пальцев, применяющиеся в ноутбуках. Операционная система записывает цифровое представление отпечатка пальца, после чего предоставленный пользователем отпечаток сравнивается с вариантом образца, и, когда система находит совпадение, выполняется регистрация. Как показывает практика, этот метод проверки подлинности зачастую используется не только в доменном окружении, но и на локальных рабочих системах.
Операционные системы Windows 8 предоставили возможность проверки подлинности с помощью графического пароля. Пользователь выбирает изображение, на котором система генерирует сетку, и добавляет определенные жесты (точки, линии или окружности). Во время регистрации операционная система сравнивает введенные пользователем жесты с зарегистрированной ранее в системе последовательностью жестов. Как показывает практика, большинство пользователей для выполнения регистрации в системе лишь иногда забавляются с графическими паролями, но все равно приоритетным считают метод ввода пароля с клавиатуры.
С выходом Windows 10 разработчики Microsoft предоставили новую службу Microsoft Passport с такими методами проверки подлинности, как использование цифровых кодов PIN и службы Windows Hello. Являются ли эти методы революционными или их постигнет участь графических паролей? Попробуем с этим разобраться.
Что такое Microsoft Passport
Как заявляют официальные источники, в какой-то момент разработчики Microsoft задумались о том, что пароли крайне уязвимы в отношении фишинговых атак, а также атак методом перебора, и решили создать средство, которое позволит раз и навсегда защитить пользовательские данные от злоумышленников. Так появился Microsoft Passport. Что же это такое?
Служба Microsoft Passport — это новый, основанный на сертификатах метод проверки подлинности, который позволяет отказаться от паролей. Данная служба обеспечивает изоляцию процесса аутентификации от ключей шифрования, которые применяются при проверке подлинности для связанных поставщиков удостоверений пользователя. Если говорить подробнее о таких поставщиках, то пользователь может выполнять проверку подлинности для учетной записи Microsoft, учетной записи Active Directory, учетной записи Microsoft Azure Active Directory или любой сторонней службы, которая поддерживает проверку подлинности Fast ID Online (FIDO). После выполнения первоначальной двухфакторной проверки подлинности при регистрации на устройстве настраивается служба Microsoft Passport, а затем пользователь определяет действия, которые в дальнейшем будут применяться для проверки подлинности. Такими действиями могут быть использование Windows Hello либо кода PIN. Для самоидентификации пользователь выполняет требуемые действия, а затем для проверки подлинности пользователя и предоставления доступа к защищенным ресурсам и службам операционная система Windows задействует Microsoft Passport.
Рассмотрим используемую в Microsoft Passport пару ключей шифрования более подробно. Закрытый ключ должен быть доступен только для применения PIN-кодов, биометрии, а также для таких устройств, как смарт-карты, которые используются для выполнения регистрации в системе. Такой ключ обязательно должен быть основан на сертификате или асимметричной паре ключей. Обратите внимание на то, что этот закрытый ключ будет проверяться аппаратным обеспечением, если устройство оснащено микросхемой доверенного платформенного модуля (то есть TPM). Закрытый ключ никогда не покидает устройство.
В свою очередь, открытый ключ должен быть зарегистрирован в Azure Active Directory и Windows Server Active Directory. Поставщики удостоверений проверяют подлинность пользователя путем сопоставления его открытого ключа с закрытым ключом и обеспечивают выполнение регистрации в системе посредством одноразового пароля One Time Password (OTP), механизма различных уведомлений или же средствами PhoneFactor.
Таким образом, с точки зрения Microsoft Passport проверка подлинности представляет собой двухфакторную проверку с использованием ключа или сертификата и информации, известной пользователю, например PIN-кода или идентификационных данных пользователя Windows Hello. Рассмотрим последовательность операций службы Microsoft Passport.
- Пользователь подтверждает свою личность посредством встроенных методов проверки подлинности, к которым относятся действия, смарт-карты или многофакторная проверка подлинности. Затем информация отправляется такому поставщику удостоверений, как Azure Active Directory или Active Directory.
- Устройство создает ключи, определяет открытый ключ, присваивает его заявленной рабочей станции, подписывает и для последующей регистрации отправляет поставщику удостоверений.
- Как только открытый ключ будет зарегистрирован поставщиком удостоверений, для подписания закрытого ключа поставщик выбирает устройство. Он проверяет его и выдает токен проверки подлинности, который позволяет пользователю получить доступ к защищенным ресурсам.
- На последнем этапе поставщик удостоверений проверяет и выдает токен проверки подлинности, который позволяет пользователю и устройству получать доступ к защищенным ресурсам. Для создания и использования учетных данных Microsoft Passport поставщики могут записывать кросс-платформенные приложения или задействовать поддержку браузера при помощи JS или Webcrypto API.
Описанный жизненный цикл отображен на рисунке 1.
Рисунок 1. Жизненный цикл Microsoft Passport |
Использование Microsoft Passport и создание PIN-кода для учетной записи Microsoft
Перейдем к практической части и посмотрим, каким образом можно настроить PIN-коды для выполнения регистрации на рабочей станции Windows 10, которая не присоединена к домену Active Directory. Для этого нужно выполнить следующие действия:
- Откройте окно параметров системы, а затем перейдите к группе «Учетные записи» и разделу «Параметры входа» (Settings, Accounts, Sign-in Options).
- Перейдите к секции «ПИН-код» (PIN) и, как показано на рисунке 2, нажмите кнопку «Добавить» (Add).
- На следующем этапе нужно будет подтвердить существующий пароль, который вы указали для своей учетной записи Microsoft. Если у вас включена двухфакторная проверка подлинности, операционная система предложит ввести специальный код, который будет отправлен вам на телефон. Первая страница диалога подтверждения пароля учетной записи Microsoft представлена на рисунке 3.
- После того как операционная система подтвердит пароль к учетной записи, откроется диалоговое окно «Настройка ПИН-кода» (Set up a PIN), где вам нужно будет указать и подтвердить PIN-код для своей учетной записи. Имейте в виду, что по умолчанию вы не можете в качестве символов PIN-кода использовать буквы. Кроме того, пароль должен состоять как минимум из 4 цифр. Максимальное значение — 127 цифр, но едва ли кто-либо будет использовать PIN-код такой длины. После того как PIN-код будет введен, для завершения процедуры нажмите кнопку ОК. Соответствующее диалоговое окно показано на рисунке 4.
Рисунок 2. Добавление PIN-кода |
Рисунок 3. Подтверждение пароля к учетной записи Microsoft |
Рисунок 4. Настройка PIN-кода |
Итак, PIN-код добавлен и теперь для выполнения регистрации в системе наряду с обыкновенным паролем вы можете использовать его. Так как с первоначальной настройкой PIN-кода вы уже ознакомились, перейдем ко второму методу проверки подлинности Microsoft Password, а именно к службе Windows Hello. В данном случае будет настраиваться процесс выполнения регистрации в Windows с использованием отпечатка пальца. Для этого потребуется сделать следующее:
- В разделе параметров входа в окне настройки учетных записей пользователей перейдите к секции Windows Hello и, как показано на рисунке 5, нажмите кнопку «Настройка» (Set up).
- На первой странице мастера вы можете прочитать о том, насколько удобным является метод проверки подлинности с использованием отпечатка пальца, а затем нажать кнопку «Начать» (Get started), как показано на рисунке 6.
- Чтобы подтвердить свою личность, как и при добавлении PIN-кода, вам нужно указать свои данные проверки подлинности. Если в случае с созданием PIN-кода вам нужно было указывать пароль, то сейчас требуется подтвердить PIN-код. Обратите внимание на то, что вам не нужно нажимать какие-либо дополнительные кнопки. Сразу после того, как Windows подтвердит ваш PIN-код, вы перейдете к следующей странице мастера (см. рисунок 7).
- На следующем шаге нужно будет просканировать любой свой палец. На данном этапе нет ничего сложного. Вы просто несколько раз проводите пальцем по сканеру отпечатков, расположенному на ноутбуке. Если точнее, то нужно будет отсканировать свой палец пять раз. Этап сканирования отпечатка пальца показан на рисунке 8.
- Операционная система оповестит вас о том, что отпечаток пальца успешно отсканирован и при последующем выполнении регистрации в системе вы можете вместо PIN-кода и обычного пароля уже использовать сканирование отпечатка пальца. Если вы хотите для выполнения этой операции добавить отпечаток еще одного пальца, можете нажать кнопку «Добавить еще» (Add another), как показано на рисунке 9.
Рисунок 5. Начало настройки регистрации в системе с использованием отпечатков пальцев |
Рисунок 6. Первая страница мастера настройки отпечатков пальцев |
Рисунок 7. Подтверждение пользовательского PIN-кода |
Рисунок 8. Сканирование отпечатка пальца |
Рисунок 9. Завершение настройки выполнения регистрации в системе по отпечатку пальца |
Дополнительные операции по управлению PIN-кодом и отпечатками пальцев
Помимо добавления описанных методов проверки подлинности Windows предоставляет еще ряд операций по управлению сгенерированными PIN-кодами и отпечатками пальцев. К таким операциям относятся изменение, сброс и удаление PIN-кода, а также добавление дополнительного отпечатка пальца и удаление отпечатков. Рассмотрим все по порядку.
Изменение PIN-кода. Изменение созданных ранее PIN-кодов является штатной задачей по управлению этим методом проверки подлинности. Для того чтобы изменить существующий PIN-код, нужно выполнить следующие действия.
- Откройте параметры системы, перейдите к группе «Учетные записи» и разделу «Параметры входа» (Settings, Accounts, Sign-in Options), а затем, находясь в секции «ПИН-код» (PIN) нажмите кнопку «Изменить» (Change).
- В открывшемся окне «Изменение ПИН-кода» (Change your PIN) требуется ввести существующий PIN-код, а в следующих двух текстовых полях указать новый PIN-код и подтвердить его (см. рисунок 10).
Рисунок 10. Изменение PIN-кода |
В результате нажатия кнопки ОК ваш PIN-код будет изменен.
Сброс PIN-кода. Как и в случае с обыкновенными паролями, не стоит исключать вероятность, что пользователь может забыть свой PIN-код. На этот случай разработчики Microsoft в Windows 10 реализовали возможность сброса PIN-кодов. Для того чтобы сбросить PIN-код, необходимо сделать следующее:
- Открыть параметры системы, перейти к группе «Учетные записи» и разделу «Параметры входа» (Settings > Accounts > Sign-in Options), после чего в секции «ПИН-код» (PIN) перейти по ссылке «Я не помню свой ПИН-код» (I forgot my PIN). Данная ссылка показана на рисунке 5.
- В открывшемся окне с текстом «Вы действительно забыли ПИН-код?» (Are you sure you forgot your PIN?) Microsoft информирует вас о том, что единственный способ восстановить забытый PIN-код — сбросить его и затем создать новый. Так как других вариантов не предлагается, как показано на рисунке 11, нажмите кнопку «Далее» (Continue).
- Так как при создании PIN-кода требовалось подтвердить пароль к учетной записи Microsoft, в случае его сброса вам предстоит выполнить аналогичные действия. Другими словами, в диалоговом окне «Введите пароль еще раз» (Please reenter your password) вам следует ввести свой пароль и, если появится запрос на подтверждение пароля в виде кода из СМС, ввести его в соответствующее текстовое поле.
- На странице «Настройка ПИН-кода» (Set up a PIN) потребуется ввести новый PIN-код. После того как вы введете и подтвердите новый PIN-код, нажмите кнопку ОК.
Рисунок 11. Первый шаг к сбросу забытого PIN-кода |
Соответствующее диалоговое окно показано на рисунке 12.
Рисунок 12. Создание нового PIN-кода |
Удаление PIN-кода. Если вы пробежитесь по настройкам, перечисленным в разделе параметров входа учетных записей, то изначально в секции управления PIN-кодами не найдете кнопки, отвечающей за удаление добавленного вами PIN-кода. Но удалить его, естественно, можно. Для этого вам нужно открыть окно настройки PIN-кода для сброса текущего PIN-кода, оставить оба текстовых поля («Новый ПИН-код» (New PIN) и «Подтверждение ПИН-кода» (Confirm PIN)) пустыми, а затем нажать кнопку «Отмена» (Cancel).
Учтите, что удаление PIN-кода не удалит отсканированные вами отпечатки пальцев, однако, пока вы не добавите новый PIN-код, вы не сможете выполнять проверку подлинности по отпечатку. Windows Hello просто не может работать без установленного PIN-кода. Однако после того, как вы добавите новый PIN-код, вам не нужно будет заново сканировать свои отпечатки. Так что предупреждение, которое вы видите на рисунке 13, можно назвать отчасти правильным.
Рисунок 13. Предупреждение об ограничениях при работе с Windows Hello |
Теперь пора рассмотреть возможности добавления дополнительных и удаления сохраненных отпечатков пальцев.
Чтобы добавить отпечаток пальца, нужно в разделе параметров входа в настройках учетных записей перейти к группе Windows Hello и нажать кнопку «Добавить еще» (Add another). Как и в случае с добавлением первого отпечатка пальца, вы увидите диалоговое окно «Добро пожаловать в Windows Hello» (Welcome to Windows Hello), в котором после прочтения соответствующей информации следует нажать кнопку «Начать» (Get started).
В отличие от операции добавления первого отпечатка пальца, в окне подтверждения личности вы сможете указать либо свой PIN-код, либо отпечаток отсканированного пальца. Вы можете выбрать любой метод проверки подлинности, главное ее пройти. Диалоговое окно подтверждения подлинности показано на рисунке 14.
Рисунок 14. Подтверждение личности для добавления дополнительного отпечатка пальца |
Как только ваша личность будет подтверждена, откроется уже знакомое окно сканирования отпечатка пальца, где вы сможете отсканировать очередной палец. Кстати, если после добавления второго отпечатка пальца вы выберете вариант добавления еще одного отпечатка, то прогресс этапов сканирования не будет отображаться (придется сосчитать до пяти сканирований), что не очень удобно.
При сканировании отпечатков пальцев я обнаружил интересную деталь. После того как я просканировал 10-й палец, в группе Windows Hello все еще присутствовала кнопка «Добавить еще». Как будто легко встретить человека, у которого на руках более 10 пальцев. Также, в отличие от сторонних программных продуктов, при помощи данной функции вы не можете управлять открытием других приложений или определенных вкладок в браузере. На мой взгляд, эту замечательную функцию, которая наконец-то появилась с выходом операционной системы Windows 10, еще предстоит дорабатывать.
Более того, вы не можете удалить из базы отпечаток какого-то одного пальца. Если в группе отпечатков пальцев Windows Hello вы нажмете кнопку «Удалить» (Remove), то у вас будут удалены сразу все отсканированные отпечатки, что, с моей точки зрения, также является значительным недостатком.
И еще один неприятный факт, касающийся службы Microsoft Passport. Если предположить, что впервые на компьютере проверкой подлинности с PIN-кодами воспользовался человек, у которого уже был пароль к учетной записи, и этот пароль, естественно, уже никуда не денется, то при добавлении нового пользователя системы (не доменного, не пользователя, который обладает учетной записью Microsoft, а обыкновенной учетной записи пользователя), ему не будет предоставлена возможность применения PIN-кода вместо обыкновенного пароля (см. рисунок 15). Таким образом, какой бы устойчивой ни была служба Microsoft Passport, от паролей нам пока никуда не деться, и проверка подлинности по PIN-кодам остается лишь дополнением к используемым учетными записями паролям.
Рисунок 15. Добавление нового пользователя и отсутствие возможности создания PIN-кода без пароля |