O Windows Hello no Windows 10 permite que os utilizadores entrem no dispositivo usando um PIN. Qual é a diferença entre um PIN e uma senha? Na superfície, um PIN parece-se muito com uma senha. Um PIN pode ser um conjunto de números, mas a política da empresa pode permitir PINs complexos que incluem caracteres e letras especiais, maiúsculas e minúsculas. Algo como t758A! poderia ser uma senha de conta ou um PIN Hello complexo. Não é a estrutura de um PIN (comprimento, complexidade) que o torna melhor que uma senha, é como ele funciona.
O PIN está vinculado ao dispositivo
Uma diferença importante entre uma senha e um PIN Hello é que o PIN está vinculado ao dispositivo específico no qual foi configurado. Esse PIN é inútil para qualquer pessoa sem esse hardware específico. Alguém que rouba sua senha pode acessar sua conta de qualquer lugar, mas se roubar seu PIN, também precisará roubar seu dispositivo físico!
Mesmo você não pode usar esse PIN em qualquer lugar, exceto naquele dispositivo específico. Se você quiser entrar em vários dispositivos, precisará configurar o Hello em cada dispositivo.
O PIN é local para o dispositivo
Uma senha é transmitida ao servidor – ela pode ser interceptada na transmissão ou roubada de um servidor. Um PIN é local para o dispositivo – ele não é transmitido em nenhum lugar e não é armazenado no servidor. Quando o PIN é criado, ele estabelece um relacionamento confiável com o provedor de identidades e cria um par de chaves assimétrico usado para autenticação. Quando digita seu PIN, ele desbloqueia a chave de autenticação e a usa para a assinatura que é enviada ao servidor de autenticação.
O PIN é suportado por hardware
O PIN Hello é suportado por um chip Trusted Platform Module (TPM), que é um processador criptográfico seguro projetado para executar operações criptográficas. O chip inclui vários mecanismos de segurança física para torná-lo resistente a violações e software pirata não pode violar as funções de segurança do TPM. Todos os celulares com Windows 10 e muitos laptops modernos possuem TPM.
A chave do utilizador é gerada e disponível no Trusted Platform Module (TPM) do dispositivo do utilizador, que o protege dos invasores que desejam capturar o material da chave e reutilizá-lo. Como o Hello usa pares de chaves assimétricos, as credenciais dos utilizadores não podem ser roubadas nos casos em que o provedor de identidade ou os sites acessados pelo utilizador foram comprometidos.
O TPM protege contra uma variedade de ataques conhecidos e potenciais, incluindo ataques de força bruta de PIN. Após demasiadas tentativas incorretas, o dispositivo está bloqueado.
O PIN pode ser complexo
O PIN do Windows Hello for Business está sujeito ao mesmo conjunto de políticas de gerenciamento de TI que uma senha, como complexidade, duração, expiração e histórico. Embora geralmente pensemos em um PIN como um código simples de quatro dígitos, os administradores podem definir políticas para dispositivos gerenciados para exigir uma complexidade de PIN semelhante a uma senha. Pode exigir ou bloquear: caracteres especiais, caracteres maiúsculos, caracteres minúsculos e números.
E se alguém roubar o laptop ou telefone?
Para comprometer uma credencial do Windows Hello que o TPM protege, um invasor deve ter acesso ao dispositivo físico e, em seguida, deve encontrar uma maneira de falsificar a biometria do usuário ou adivinhar seu PIN – e tudo isso deve ser feito antes a defesa do TPM bloqueia o dispositivo. Pode fornecer proteção adicional para laptops que não possuem TPM, habilitando o BitLocker e definindo uma política para limitar o logon com falha.
Por que precisa de um PIN para usar a biometria?
O Windows Hello permite a entrada biométrica no Windows 10: impressão digital, íris ou reconhecimento facial. Ao configurar o Windows Hello, deve primeiro criar um PIN. Esse PIN permite que entre usando o PIN quando não puder usar sua biometria preferida devido a uma lesão ou porque o sensor não está disponível, ou não está a funcionar corretamente.
Se tivesse apenas uma entrada biométrica configurada e, por qualquer motivo, não pudesse usar esse método para entrar, seria necessário entrar usando a sua conta e senha, o que não fornece o mesmo nível de proteção que Hello.