اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

استفاده از PIN بجای رمزعبور در ویندوز

استفاده از PIN بجای رمز عبور

Windows Hello در Windows 10 کاربران را قادر می‌سازد تا توسط یک PIN وارد دستگاه خود شوند. در ظاهر PIN بسیار شبیه به گذرواژه (Password) می‌باشد. PIN مجموعه‌ای از اعداد است، اما Policy سازمانی ممکن است PIN‌های پیچیده که حاوی کاراکترهای خاص و حروف کوچک و بزرگ نیز می‌باشند را مورد استفاده قرار دهد. برای مثال « t758A!» می‌تواند یک کلمه عبور و یا یک PIN پیچیده‌ی Hello Windows باشد. برتری PIN نسبت به رمزهای عبور برای ساختار آن، یعنی طول و پیچیدگی آن نیست، بلکه طرز کار PIN است که به آن برتری می‌دهد.

ارتباط PIN به تجهیزات

یکی از تفاوت‌های مهم بین یک رمز عبور و یک PIN در Windows Hello این است که PIN مربوط به دستگاه خاصی است که بر روی آن پیکربندی شده و این PIN برای هر فردی بدون آن سخت افزار خاص، بی مصرف می‌باشد. کسی که رمز عبور کاربر را سرقت کند از هر کجا می‌تواند وارد به حساب کاربری کاربر شود، اما اگر PIN کاربر دزدیده شود، باید دستگاه فیزیکی کاربر نیز دزدیده شود.

حتی خود کاربر نیز نمی‌تواند از آن PIN در جای دیگر به جز در آن دستگاه خاص استفاده کند. اگر کاربر بخواهد به چندین دستگاه وارد شود، باید بر روی هر دستگاه Windows Hello را پیکربندی کند.

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور

محلی بودن PIN هر دستگاه

باید توجه داشت که رمز عبورها به سرور منتقل می‌شوند، بنابراین می‌توانند در حین انتقال، هک شده و یا از روی سرور دزدیده شوند، اما PINها به دستگاه محلی بوده و به هیچ کجا انتقال نمی‌یابند و در هیچ سروری ذخیره نمی‌شود. هنگامی ایجاد شدن یک PIN، با ارائه کننده هویت، ارتباطی اطمینان شده برقرار می‌شود و یک جفت کلید نامتقارن ایجاد می‌شود که برای احراز هویت استفاده می‌شوند. هنگامی که کاربر PIN خود را وارد می‌کند، کلید تأیید هویت باز شده و از آن کلید برای امضای درخواست فرستاده شده به سرور احراز هویت استفاده می‌شود.

پشتیبانی سخت‌افزاری از پین

Windows Hello PIN توسط یک ماژول پلتفرم معتبر (Trusted Platform Module و یا TPM) ذخیره می‌شود که یک پردازشگر رمزنگاری ایمن است که برای انجام عملیات رمزنگاری طراحی شده است. این تراشه شامل چندین مکانیسم امنیتی فیزیکی است که آن را در برابر دستکاری مقاوم می‌کنند. نرم‌افزارهای مخرب نیز قادر به کنترل عملکردهای امنیتی TPM نیستند. تمامی تلفن‌های همراه Windows 10 و تعداد زیادی از لپ‌تاپ‌های امروزی دارای TPM می‌باشند.

محتوای کلید کاربر تنها در داخل TPM دستگاه کاربر تولید شده و قابل دسترس است، که آن را در برابر مهاجمانی که می‌خواهند آن را بدست آورده و آن را دوباره استفاده کنند، محافظت می‌کند. از آنجا که Hello از جفت کلیدهای نامتقارن استفاده می‌کند، در مواردی که ارائه کننده هویت یا وب‌سایت‌هایی که کاربر به آن‌ها دسترسی پیدا می‌کند به خطر بیافتند، اعتبار کاربر دزدیده نخواهد شد. TPM، پین را در برابر انواع حملات بالقوه و شناخته شده، از جمله حملات Brute-Force محافظت می‌کند. پس از چندین حدس نادرست، دستگاه قفل خواهد شد.

پیچیدگی PIN

Windows Hello PIN برای سازمان، نیز همانند مجموعه Policy‌های مدیریت فناوری گذرواژه، از جمله پیچیدگی، طول، انقضا و سابقه، می‌باشد. اگرچه ما به طور کلی PIN را به عنوان یک کد چهار رقمی ساده در نظر می‌گیریم، مدیران می‌توانند Policy‌هایی برای دستگاه‌های مدیریت شده تنظیم کنند که این روش را به پیچیدگی‌ مشابه به رمزعبور ملزم می‌کند. می‌توان وجود کاراکترهای خاص، حروف بزرگ، حروف کوچک و ارقام را الزامی کرده و یا حتی منع کرد.

برقراری امنیت در هنگام دزدیده شدن دستگاه

برای بدست آوردن اعتبار Windows Hello که توسط TPM محافظت می‌شود، مهاجم باید به دستگاه فیزیکی دسترسی داشته باشد و سپس باید راهی برای دور زدن بیومتریک کاربر پیدا کرده و یا PIN را حدس بزند. همه این‌ها باید پیش از قفل شدن دستگاه توسط محافظت TPM Anti-Hammering انجام شود. با فعال کردن BitLocker و تنظیم یک Policy برای محدود کردن ورودی‌های شکست خورده، می‌توان محافظت بیشتری را برای لپ‌تاپ‌هایی که TPM ندارند فراهم کرد.

Windows Hello ورود به سیستم توسط بیومتریک، از جمله اثر انگشت، عنبیه و یا تشخیص چهره را در Windows 10 امکان‌پذیر می‌سازد. هنگام پیکربندی Windows Hello، از کاربر خواسته شده تا ابتدا یک PIN ایجاد کند. این پین کاربر را قادر می‌سازد تا هنگامی که به علت آسیب شخصی و یا مشکلات سنسور نمی‌تواند از بیومتریک مورد نظر استفاده کند، بتواند با استفاده از آن وارد سیستم شود.

اگر فقط ورود به سیستم توسط بیومتریک پیکربندی می‌شد و به هر دلیل امکان استفاده از آن وجود نداشت، کاربر مجبور به استفاده از حساب کاربری و گذرواژه خود برای ورود به سیستم می‌شد، که امنیت را در سطح Windows Hello ارائه نمی‌کند.