Управление проверкой личности с помощью Windows Hello для бизнеса

[vasyakrg]

ПИН-код храниться локально на устройстве — окей. Предположим что у меня два устройства — рабочий системник и домашний. Вероятность что я буду использовать один и тот же пин — близка к 100%. Получается, если злоумышленник, как вы пишите, подсмотрел мой ПИН (пусть или на работе или дома, не суть), он таки получит доступ к данным?
от сюда вопросы: чем в данном случае ПИН надежнее? как я узнаю что второе устройство скомпроментировано?
на мой взгляд защита с временными паролями на Аутентификаторах все таки более надежна, т.к. не привязывает пользователя к удобному ему «году рождения его собаки».

[herrjemand]

В AD не хранится пин. В AD хранится регистрационно-уникальный публичный ключ. Мастер ключ хранится в TPM. Если злоумышленник и узнает ваш пин, то ему все равно нужно будет получить доступ к устройству, так как приватный ключ хранится в TPM или TEE самого устройства.

P.S. Я кстати работаю на FIDO Alliance, так что если у вас есть вопросы, задавайте*)

[Homakov]

Почему FIDO Alliance существует уже который год, но им никто не пользуется?

[herrjemand]

Наш Альянс существует уже четыре года. В прошлом году мы выпустили финальные версии U2F и UAF стандартов.

U2F поставляется в стандартной конфигурации Yubikey с 2014 года. Google, Facebook полностью адаптировали U2F для внутренней инфраструктуры, а гугл при этом выпустил поддержку для U2F для своих продуктов. Собственно вот моя статья по U2F https://habrahabr.ru/post/305508/

UAF сейчас активно развивается. Так на пример компания Lenovo анонсировала поддержку UAF для Yoga и Thinkpad. Самсунг так-же будет поддерживать UAF.

Так же мы разрабатывает новый протокол FIDO2.0 или WebAuthn. Это добавляет новый JS api для безопасной аутентификации. Очень похоже на UAF. Можете почитать спецификацию здесь https://www.w3.org/Webauthn/.

Так же мы будет очень активно работать над Open Source в следующем году, выпуская официальные инструменты, и reference implementation.

Для четырехлетнего Альянса мне кажется мы очень не плохо движемся *)

[vasyakrg]

я немного не дописал. злой парень подсмотрел мой пин и получил доступ к устройству. не важно как: на работе у меня или дома или украл ноут. я к тому, что пока я дома, а он, например на работе — как я узнаю что ПИН скомпроментирован? и чем в данном случае ПИН надежнее?

[herrjemand]

ПИН это только пример. В реальности FIDO2.0 для разблокировки хранилища ключей поддерживает аутентификацию на основе пина, биометрических данных, паролей и т.д. и т.п.

В целом то что вы описываете это целенаправленная атака, мы же пытаемся изменить то как происходит аутентификацию в целом. Если у вас проблемы с тем что вас могут целенаправленно взломать, то я боюсь безопасность протоколов это не самая большая проблема. Для обычного пользователя FIDO2.0 достаточно чтобы китайские боты, и всевозможные фишинг сайты не могли ничего сделать, и это то над чем мы работаем. Те у кого проблемы с целенаправленными атаками знают что переиспользование пин кодов не усилит их безопасность, и соответственно такого делать не будут.

[it_fareast_vl]

Если злоумышленник подсмотрит Ваш пароль, ситуация будет точно такая же, он получит доступ к Вашим данным.
Но если я правильно понял, предполагается, что злоумышленник не имеет физического доступа к Вашей машине, но теоретически способен подключиться к Вашей рабочей сети. В этом случае пин безопаснее, т.к. злоумышленник не сможет воспользоваться Вашей учетной записью для доступа в сеть. (Пин привязывается к конкретной железке).

[vasyakrg]

я имел ввиду именно физический доступ к одну из моих устройств. и что пин 100% будет одинаковый на обоих.
вопрос даже не в доступе к данным, сколько в моем знании, что этот доступ, допустим, сейчас получен.
но в целом, согласен с herrjemand — это уже из разряда целенаправленных атак.
однако все же интересно, чем например не надежнее аутентификатор (на том же телефоне). ввел логин, пароль (пусть пин) и временный код с аутентификатора (который подсматривать нет смысла).
сейчас не рассматриваю биометрику и другие факторы (способы) — тут безусловно конечно…

[herrjemand]

Не надежнее тем что первый фактор(логин + пароль) подвержен фишингу. Про UX я вообще молчу.

[Schvepsss]

PIN-код — это один из 2 факторов аутентификации. Для более безопасной аутентификации рекомендуется использовать биометрию (отпечаток пальца, снимок лица).

Кроме того, срок жизни PIN-кода для Windows Hello для бизнеса также можно задать при помощи групповых политик.

[Neraverin]

Не надо использовать слова «биометрия» и «аутентификация» вместе. Это большая ошибка. Биометрия — это отличный фактор идентификации, но не аутентификации. Фактор аутентификации должен иметь возможность его смены, при компрометации. Вы легко замените свой PIN, но не лицо. Плюс вы никак не контролируете распространение своей биометрии. Ваше лицо постоянно снимается различными камерами на улице. Это все равно, что самый безопасный пароль, который вы написали у себя на лбу.

[VladMgn]

Не совсем понимаю, как на Win к удаленному рабочему месту подключится можно будет без pin на котором настроен hello ? попробовал - не подходит ни пароль, ни pin.. если вернуть на локальный пароль, то подключается..