indows 10操作系統允許使用PIN(個人識別碼)作為替代登錄選項,用戶可以設置一個PIN并使用它代替密碼。使用PIN碼可以更輕松地登錄Windows設備并連接到應用程序和其他在線服務,例如社交網絡。
在Windows 10啟動時,操作系統支持三種Hello類型: PIN、人臉識別、指紋識別。
必須先選擇PIN作為初始Hello手勢,然后才能使用Windows Hello在設備上啟用生物識別。設置PIN后,用戶可以根據需要添加生物識別手勢。始終可以使用PIN手勢來釋放憑據,因此即使由于受傷或傳感器不可用或無法正常工作而無法使用首選生物特征識別功能,仍可以解鎖并使用設備。
在Windows 10上設置新設備或創建新用戶帳戶時,不得不在密碼旁邊添加PIN。盡管使用PIN具有諸如簡化操作和提高安全性等優點,但由于它僅與本地相關,因此這并不是所有人都希望的選擇。
如果你當前正在使用PIN登錄,但想使用密碼或其他身份驗證機制(例如指紋),則可以使用“設置”應用刪除PIN。
要想在Windows 10上刪除PIN密碼,請執行以下步驟:
1.打開“設置-帳戶-登錄選項”。
2.在“管理你登錄設備的方式”部分下,選擇Windows Hello PIN選項。
3.單擊“刪除”按鈕。
4.再次單擊“刪除”按鈕。
5.輸入當前賬戶的登錄密碼,然后單擊“確定”按鈕。
完成這些步驟后,你將不再能夠使用PIN登錄,只有使用本地帳戶和密碼來訪問桌面。
如果想阻止Windows 10在啟動時要求用戶設置PIN,可以通過組策略編輯器在“設置”應用中禁用添加PIN選項,下面是操作的步驟。
1.按Windows鍵+ R打開“運行”對話框,鍵入gpedit.msc,然后按Enter打開本地組策略編輯器。如果運行的是Windows 10家庭版,那么本地組策略編輯器不可用,可以使用其他方式禁用Windows 10 PIN登錄。
2.導航至:計算配置/管理模板/ Windows組件/ Windows Hello企業版,在右側窗格中,雙擊“使用Windows Hello企業版 ”策略。
3.在打開的窗口中選擇“已禁用”選項,單擊“應用”,然后單擊“確定”。
4.重新啟動計算機以應用更改。下次打開“設置”應用并轉到帳戶 -> 登錄選項時,會發現設置Windows Hello PIN/人臉/指紋的選項不再可用。
如果在應用上述策略之前已經設置了Windows Hello PIN,仍然可以使用PIN登錄Windows 10或刪除現有的PIN登錄選項,但是將無法再更改PIN碼。
■>>恢復win10登錄密碼的9大工具,一個比一個強大,維修電腦必備
■>>數據安全第一道門:定期更換登錄密碼,你做好了嗎?
■>>防止密碼不被黑的5種方法,專家提醒:網絡安全真不是兒戲
■>>輕松找回win10安裝密碼的技巧,只用記事本即可,非常簡單
更多windows 10操作系統使用技巧,請關注→→#win10玩機技巧#
想了解更多精彩內容,快來關注@微課傳媒
1.頭條號【微課傳媒】專注軟件分享,如果你喜歡玩軟件,歡迎關注、評論、收藏、轉發。
2.在學習中有什么問題,歡迎與我溝通交流,號搜索【微課傳媒】,我在這里等你喲!
當 Chrome 于本月初推送 108 版本到大家手中時,通行密鑰(Passkey)就已經在主流的生態系統中準備就緒了。作為一項由 FIDO 聯盟發起和推廣的無密碼登錄標準, 通行密鑰(Passkey)雖然早在今年 6 月份的時候就在 WWDC 上亮相并走入了大家的視野,不過「無密碼的未來」看起來一直雷聲大雨點小——好像除了系統支持就沒有具體實例支持通行密鑰這個功能。
其實并不然,所以本文將從通行密鑰是什么出發,一起來看看通行密鑰的生態如何以及我們可以怎么設置通行密鑰。
雖然早前少數派有專門的文章介紹其工作原理,不過這里還是要簡單介紹一下通行密鑰是干什么以及是怎么做到的。
簡單來說,通行密鑰主想要實現的,是在原本的「用戶名-密碼」安全體系外,尋找一種更為簡單、直接,但同樣具備安全性的用戶身份驗證方式。比如你正在使用一臺設置了面容 ID 的 iPhone,那通過面容 ID 解鎖這臺 iPhone 即可證明目前是你本人正在操作——而這要比輸入登錄信息、甚至自動填充登錄信息都要快速無感。
這個替代驗證手段的思路具體到原理,從某種程度上來說則是真的「干掉了密碼」。通行密鑰將以往需要加密儲存在服務器端的登錄信息,替換為非對稱加密技術中的口令。和包含用戶名、密碼的傳統憑證數據不同,在非對稱加密技術中,注冊通行密鑰的設備會成一段「公鑰」和「私鑰」交給提供注冊服務的服務器。
我們可以把公鑰類比于帶「防盜」鎖的傳統信箱,把私鑰類比于信箱的鎖的鑰匙。郵遞員投遞的信件就是我們要加密的信息,通過投遞到信箱中加密起來,然后也只有信箱的主人才有鑰匙能夠打開信箱讀取信件的內容。如果一個人手上沒有鑰匙,那就需要用暴力開防盜鎖,整個過程不僅耗時耗力,最后也往往沒辦法打開那把防盜鎖。與之對應的,如果某些內容被公鑰加密了,則該內容能且僅能被私鑰解密。
非對稱加密的可靠性正來源于此——若無私鑰,在有限的算力和有限的時間內我們一般無法完成極大整數的因數分解;如果加密內容能被解密,則說明對方擁有私鑰。
所以只要服務器用公鑰加密一段認證信息,用戶設備上的私鑰鑰可以解密這段認證信息,那么就可以證明我是「我」了,這也是通行密鑰的實現基礎,而通過這一個間接匹配就完成了密碼認證。整個過程既不用勞神費力的敲入具體的密碼、也不需要讓密碼離開本地設備,更能避免因為服務器受攻擊而導致密碼泄露,降低傳輸風險。
圖|《不用密碼但不能代替密碼:通行密鑰如何讓登錄這件事更簡單?》
不過用戶保存在本地的私鑰也需要有安全保障,不然惡意程序隨意訪問就會破壞這樣的間接認證機制。所以在使用通行密鑰時往往都會配合用戶設備上的生物識別系統進一步加密保存在本地的「私鑰」,比如 iDevice 設備上的 TouchID/FaceID、Android 設備上的指紋識別、Windows Hello,甚至是簡單的 PIN 認證都可以進一步增強訪問私鑰時的安全性,而這也是通行密鑰繞不過的重要組成部分。
圖|《不用密碼但不能代替密碼:通行密鑰如何讓登錄這件事更簡單?》
通行密鑰背后的技術基礎是由 W3C 在 2019 年就納入正式標準的 WebAuthn 認證,在早期這個 API 只能通過實體密鑰使用。但今年 Apple、Microsoft 以及 Google 的大力推進下手邊的電腦、平板或是手機也可以通過通行密鑰化身為實體密鑰了。據我統計以下的平臺均支持通行密鑰:
Chrome 目前通行密鑰的支持情況,目前 Windows 上的 Chrome 暫不支持通行密鑰云同步
當然,有人還會擔心如果一個平臺還不支持通行密鑰是不是就意味著在那個平臺就不能使用通行密鑰了,比如 Linux 目前沒有支持、也暫時沒有計劃支持通行密鑰。
通行密鑰其實也有考慮到這個問題,給出的解決方案則是將帶有攝像頭的手機、平板化身為實體密鑰,通過藍牙、NFC 或者 USB 線纜等方式將移動設備上解答出來的「答案」通過安全的通道傳遞給支持通行密鑰的軟件。跨平臺傳輸密鑰的過程在用戶角度來看就兩步,掃碼-掃描指紋/人臉,就和我們平時掃一掃登陸微信沒什么區別。
在 Android 手機上掃描 Windows 電腦上的通行密鑰二維碼時會索要附近設備的權限
無密碼登陸的未來令人遐想,以 1Password 為代表的密碼管理服務也很積極努力地擁抱通行密鑰這項技術。目前主流的密碼管理軟件對通行密鑰的支持計劃如下:
除了系統、軟件的支持,相信對于我們來說最感興趣還是哪些網站支持通行密鑰了。1Password 目前維護了一個支持通行密鑰網站、應用程序和其他服務的列表,詳細列舉了該網站支持通過通行密鑰登陸或是僅用于兩步認證,并給出的詳細的設置地址。
1Password 整理的支持列表
在列表之外,也不斷有廠商在陸陸續續的為自家的賬號服務添加對于通行密鑰的支持,如 Github、Cloudflare、 Dropbox、 Fastmail 和 Porkbun 等等都以不同的形式和名字提供了為現有賬號綁定通行密鑰的選項,這些服務普遍都在早先支持了 WebAuthn API,所以支持通行密鑰也是水到渠成的事情。你可以在這里找到絕大多數已經支持 WebAuthn API 的網站和服務,理論上他們中的絕大多數也都支持通行密鑰。
由 Yubikey 維護的支持 WebAuthn 的列表
雖然通行密鑰既可用于登陸也可用于兩步認證,但本身都是基于 WebAuthn API 這項技術,所以絕大多數的通行密鑰的設置也通常位于「兩步認證」-「硬件密鑰」、「NFC 密鑰」或是「USB 認證器」這樣的選項中,為現有賬號添加通行密鑰的流程也已經相當無感。
以 Nvidia 的官網賬號為例,在賬號管理頁面底部的「安全設置」中,在多重安全驗證的選項中就可以看到一則名為「硬件安全設備」(Hardware Security Device)的欄目,你可以在里面添加多個支持通行密鑰的瀏覽器、 Android 或者 iOS 設備:
在 macOS 中的 Safari 直接添加通行密鑰只需要進行一次生物識別即可
在 macOS 中的 Chrome 添加通行密鑰則只能通過 Chrome 自身或者手機保存
添加時還有一些值得注意的地方,首先一個賬戶可以綁定多通行密鑰,不過這些保存通行密鑰的平臺如果支持同步的話,同一平臺中的不同設備會被認為是同一個設備,進而拒絕添加。舉個例子來說,比如我在 macOS 上的 Safari 添加了 Nvidia 的通行密鑰,這時我再點開添加通行密鑰的界面并在 iPhone 上掃描同一個 Nvidia 賬戶的另一個二維碼,在添加時 iPhone 上就會報錯。
命名方式建議按照平臺來
其次就是在 Android 手機上通過藍牙等方式添加通行密鑰時,Android 手機和對應的電腦都需要正確的上網姿勢,否則將不能正確添加通行密鑰。
Nvidia 在設置完畢通行密鑰以后可以直接在登陸時使用通行密鑰。Github、Cloudflare、 Dropbox、 Fastmail 和 Porkbun 等等上門提到的服務也和 Nvidia 一樣有著非常相似的過程的添加過程這里就不做展開了,只不過這類服務目前只能使用通信密鑰進行 2FA,暫時還不能用于登陸。
在 Github 中添加通行密鑰
首先是 Microsoft 賬戶,它的特殊之處在于目前你只能在 Windows 11 22H2 上的 Chrome 或者基于 Chromium 的 Edge 瀏覽器添加通行密鑰,在其他瀏覽器和操作系統中均沒有添加通行密鑰的入口。登陸 Microsoft 帳戶以后,選擇「安全」-「高級安全選項"立刻開始"」-「添加一種新的登陸或驗證方法」-「設置安全密鑰」-「USB 設備」-「下一步」即可開始添加通行密鑰。不過和設置一樣,目前 Microsoft 賬戶的通行密鑰也僅能在 Windows 11 22H2 上使用。
Google 已于 2023 年 4 月 3 日正式支持通行密鑰,不僅支持 2FA 也支持無密碼登陸。設置方法如下:「管理您的 Google 賬戶」-「安全性」-「您的 Google 賬號登陸選項」,找到并點擊位于最下方的「通行密鑰」,即可開始添加。
vivo 等國產手機有 Play 服務的話也是支持的
根據我的測試來看,擁有 Play 服務且登陸了 Google 賬戶,在你打開 Google 的通行密鑰開關以后,符合上述要求的 Android 手機都將支持通行密鑰;據我猜測,Android 手機自動創建的通行密鑰本質上就是一套密鑰,這套密鑰通過 Google 云服務在所有的 Android 設備之間進行同步。另外值得一提的是,目前我手邊的 2 臺 Android 手機均為 Android 14 系統,系統版本可能也會影響到通行密鑰的使用。
刪除 Passkey
而 Apple 設備和 Microsoft 設備還需要額外點擊位于屏幕最下方的「創建通行密鑰」的按鈕額外添加。需要注意的是,如果你以前使用下面提到的舊方法添加過只能用于 2FA 的通行密鑰,在設置新的通行密鑰之前可能還需要移除舊密鑰,不然會添加不上。
使用通行密鑰登陸 Google 賬戶
Google 賬戶舊通行密鑰的設置方法只能用于 2FA,設置時認為兩種情況,一種是如果你擁有一臺內置了 Titan 安全芯片的 Pixel 設備,Google 會默認將該設備自動添加為登錄時用于兩步驗證的通行密鑰設備。
在網頁端登錄 Google 帳號時,只需拿出 Pixel 設備、授予附近設備權限,即可通過設備上的生物信息識別驗證來完成兩步認證。
如果沒有一臺內置了 Titan 安全芯片的 Pixel 設備,但有一臺運行 iOS 16/iPadOS 16 的設備,那么你也可以找到隱藏的添加通行密鑰的入口。
首先在 iOS 16/iPadOS 16 上的 Safari 中登陸你的 Google 賬戶,接著點擊右上角的頭像-「管理你的 Google 賬戶」-「安全性」-「兩步驗證」-「再次輸入密碼」-「安全密鑰」-「添加安全密鑰」-「實體」-「繼續」,你就能發現添加通行密鑰這個熟悉的入口出現在你面前。用另一臺運行 iOS 16/iPadOS 16/Android 13 的設備掃描屏幕上出現的二維碼即可完成 Google 賬戶的通行密鑰的添加。添加完畢以后也可以在其他平臺上使用對應的 Passkey,但我不理解為什么這個接口只對 iOS/iPadOS 打開,但能用就好克老氣暈。
以上就是本文的全部內容了,可以看到國外已經有不少的服務支持了通行密鑰,雖然絕大多數的服務目前只是作為兩步認證的替代品,但依然是一個不錯的開始;反觀國內服務基本都沒有支持 WebAuthn API 和通行密鑰,只能希望國內廠商多多努力擁抱開源的「無密碼」協議。希望本文可以幫助到你,也希望我們可以一起進入無密碼的未來。