Windows Hello در Windows 10 کاربران را قادر میسازد تا توسط یک PIN وارد دستگاه خود شوند. در ظاهر PIN بسیار شبیه به گذرواژه (Password) میباشد. PIN مجموعهای از اعداد است، اما Policy سازمانی ممکن است PINهای پیچیده که حاوی کاراکترهای خاص و حروف کوچک و بزرگ نیز میباشند را مورد استفاده قرار دهد. برای مثال « t758A!» میتواند یک کلمه عبور و یا یک PIN پیچیدهی Hello Windows باشد. برتری PIN نسبت به رمزهای عبور برای ساختار آن، یعنی طول و پیچیدگی آن نیست، بلکه طرز کار PIN است که به آن برتری میدهد.
ارتباط PIN به تجهیزات
یکی از تفاوتهای مهم بین یک رمز عبور و یک PIN در Windows Hello این است که PIN مربوط به دستگاه خاصی است که بر روی آن پیکربندی شده و این PIN برای هر فردی بدون آن سخت افزار خاص، بی مصرف میباشد. کسی که رمز عبور کاربر را سرقت کند از هر کجا میتواند وارد به حساب کاربری کاربر شود، اما اگر PIN کاربر دزدیده شود، باید دستگاه فیزیکی کاربر نیز دزدیده شود.
حتی خود کاربر نیز نمیتواند از آن PIN در جای دیگر به جز در آن دستگاه خاص استفاده کند. اگر کاربر بخواهد به چندین دستگاه وارد شود، باید بر روی هر دستگاه Windows Hello را پیکربندی کند.
محلی بودن PIN هر دستگاه
باید توجه داشت که رمز عبورها به سرور منتقل میشوند، بنابراین میتوانند در حین انتقال، هک شده و یا از روی سرور دزدیده شوند، اما PINها به دستگاه محلی بوده و به هیچ کجا انتقال نمییابند و در هیچ سروری ذخیره نمیشود. هنگامی ایجاد شدن یک PIN، با ارائه کننده هویت، ارتباطی اطمینان شده برقرار میشود و یک جفت کلید نامتقارن ایجاد میشود که برای احراز هویت استفاده میشوند. هنگامی که کاربر PIN خود را وارد میکند، کلید تأیید هویت باز شده و از آن کلید برای امضای درخواست فرستاده شده به سرور احراز هویت استفاده میشود.
پشتیبانی سختافزاری از پین
Windows Hello PIN توسط یک ماژول پلتفرم معتبر (Trusted Platform Module و یا TPM) ذخیره میشود که یک پردازشگر رمزنگاری ایمن است که برای انجام عملیات رمزنگاری طراحی شده است. این تراشه شامل چندین مکانیسم امنیتی فیزیکی است که آن را در برابر دستکاری مقاوم میکنند. نرمافزارهای مخرب نیز قادر به کنترل عملکردهای امنیتی TPM نیستند. تمامی تلفنهای همراه Windows 10 و تعداد زیادی از لپتاپهای امروزی دارای TPM میباشند.
محتوای کلید کاربر تنها در داخل TPM دستگاه کاربر تولید شده و قابل دسترس است، که آن را در برابر مهاجمانی که میخواهند آن را بدست آورده و آن را دوباره استفاده کنند، محافظت میکند. از آنجا که Hello از جفت کلیدهای نامتقارن استفاده میکند، در مواردی که ارائه کننده هویت یا وبسایتهایی که کاربر به آنها دسترسی پیدا میکند به خطر بیافتند، اعتبار کاربر دزدیده نخواهد شد. TPM، پین را در برابر انواع حملات بالقوه و شناخته شده، از جمله حملات Brute-Force محافظت میکند. پس از چندین حدس نادرست، دستگاه قفل خواهد شد.
پیچیدگی PIN
Windows Hello PIN برای سازمان، نیز همانند مجموعه Policyهای مدیریت فناوری گذرواژه، از جمله پیچیدگی، طول، انقضا و سابقه، میباشد. اگرچه ما به طور کلی PIN را به عنوان یک کد چهار رقمی ساده در نظر میگیریم، مدیران میتوانند Policyهایی برای دستگاههای مدیریت شده تنظیم کنند که این روش را به پیچیدگی مشابه به رمزعبور ملزم میکند. میتوان وجود کاراکترهای خاص، حروف بزرگ، حروف کوچک و ارقام را الزامی کرده و یا حتی منع کرد.
برقراری امنیت در هنگام دزدیده شدن دستگاه
برای بدست آوردن اعتبار Windows Hello که توسط TPM محافظت میشود، مهاجم باید به دستگاه فیزیکی دسترسی داشته باشد و سپس باید راهی برای دور زدن بیومتریک کاربر پیدا کرده و یا PIN را حدس بزند. همه اینها باید پیش از قفل شدن دستگاه توسط محافظت TPM Anti-Hammering انجام شود. با فعال کردن BitLocker و تنظیم یک Policy برای محدود کردن ورودیهای شکست خورده، میتوان محافظت بیشتری را برای لپتاپهایی که TPM ندارند فراهم کرد.
Windows Hello ورود به سیستم توسط بیومتریک، از جمله اثر انگشت، عنبیه و یا تشخیص چهره را در Windows 10 امکانپذیر میسازد. هنگام پیکربندی Windows Hello، از کاربر خواسته شده تا ابتدا یک PIN ایجاد کند. این پین کاربر را قادر میسازد تا هنگامی که به علت آسیب شخصی و یا مشکلات سنسور نمیتواند از بیومتریک مورد نظر استفاده کند، بتواند با استفاده از آن وارد سیستم شود.
اگر فقط ورود به سیستم توسط بیومتریک پیکربندی میشد و به هر دلیل امکان استفاده از آن وجود نداشت، کاربر مجبور به استفاده از حساب کاربری و گذرواژه خود برای ورود به سیستم میشد، که امنیت را در سطح Windows Hello ارائه نمیکند.
