Applies ToWindows 11 Windows 10
Windows Hello — это более личный и безопасный способ входа на устройство с Windows. Вместо пароля с Windows Hello вы можете войти с помощью распознавания лиц, отпечатков пальцев или ПИН-кода.
Эти параметры упрощают и безопаснее вход в компьютер, так как ВАШ ПИН-код связан только с одним устройством и резервную копию для восстановления с учетной записью Майкрософт.
Вы можете использовать приложение «Параметры» для настройки Windows Hello и управления ими.
-
В приложении «Настройки» на устройстве с Windows, выберите Учетные записи > параметры входа или воспользуйтесь следующим сочетанием клавиш:
Параметры входа
-
В разделе Способы входа можно выбрать три варианта входа с помощью Windows Hello:
-
Выберите Распознавание лиц (Windows Hello), чтобы настроить вход с помощью инфракрасной камеры компьютера или внешней инфракрасной камеры.
-
Выберите Распознавание отпечатков пальцев (Windows Hello), чтобы настроить вход с помощью сканера отпечатков пальцев.
-
Выберите ПИН-код (Windows Hello), чтобы настроить вход с помощью ПИН-кода.
Важно: Для входа с помощью лица требуется камера, совместимая с Hello. Для входа с помощью отпечатка пальца на устройстве должно быть устройство считывания отпечатков пальцев.
Если ваше устройство не поставляются с одним из них, вы можете приобрести его, который может быть подключен к вашему устройству через USB у любого из ряда популярных розничных торговцев.
-
-
Выберите параметр , выберите Настроить
-
Следуйте инструкциям, чтобы завершить настройку Windows Hello
Интерфейс входа
При следующем входе на устройство вы можете использовать распознавание лиц, идентификацию отпечатков пальцев или ПИН-код вместо пароля.
Нужна дополнительная помощь?
Нужны дополнительные параметры?
Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.
Многие современные ноутбуки имеют встроенный сканер отпечатков пальцев, а Windows 10, в свою очередь — встроенную поддержку входа в систему по отпечатку. Обычно, первоначальная настройка осуществляется после первого входа в систему на новом устройстве, но, если вы переустановили Windows, вход по отпечатку перестал работать после обновления или вам потребовалось добавить дополнительные отпечатки, сделать это можно в соответствующих параметрах системы.
В этой простой инструкции подробно о том, как настроить вход по отпечатку пальца, добавить отпечатки и о возможных проблемах, с которыми можно столкнуться в процессе.
- Настройка входа по отпечатку пальца
- Как добавить отпечаток пальца Windows 10
- Что делать, если перестал работать сканер отпечатка пальца
Настройка входа по отпечатку пальца в Windows 10
Внимание: далее предполагается, что сканер отпечатков пальцев исправно работает, а в Windows 10 уже настроен ПИН-код (настраивается в Параметры — Учетные записи — Варианты входа), он необходим для использования входа с помощью биометрических датчиков в Windows 10.
Если ранее вы не настраивали вход с использованием отпечатка пальца, то выполнить первоначальную настройку (при условии, что сканер работает), можно с помощью следующих шагов:
- Зайдите в «Параметры» (можно нажать клавиши Win+I) и откройте пункт «Учетные записи».
- В параметрах учетных записей откройте пункт «Варианты входа».
- Нажмите по пункту «Распознавание отпечатков пальцев Windows Hello», а затем — по кнопке «Настройка».
- Откроется мастер настройки Windows Hello, в котором следует нажать «Начать», затем ввести ПИН-код для входа в Windows 10, а далее следовать указанием мастера настройки отпечатков пальцев — касаясь его, пока процесс не будет завершен.
- По завершении вы увидите окно, сообщающее о возможности использования отпечатка пальца для разблокировки компьютера в дальнейшем, и предлагающее добавить еще один палец (это можно сделать и позже).
Готово, теперь, если всё работает исправно, при входе в систему вы можете просто приложить палец (для которого выполнялась настройка) к соответствующему сканеру на ноутбуке.
Как добавить отпечаток пальца Windows 10
Добавление альтернативных отпечатков предлагается выполнить сразу после первоначальной настройки их распознавания, но сделать это можно и позже:
- Зайдите в Параметры — Учетные записи — Варианты входа.
- Откройте пункт «Распознавание отпечатков пальцев Windows Hello» и нажмите кнопку «Добавить ещё».
- Введите ваш ПИН-код и выполните настройку нового отпечатка пальца для входа в систему.
Перестал работать вход по отпечатку или сканер отпечатка пальца в Windows 10
Как и при использовании других функций Windows 10, при входе по отпечатку могут возникать проблемы, по порядку рассмотрим наиболее распространенные:
- Сканер отпечатков пальцев работает (в диспетчере устройств отображается без ошибок), но вход не происходит: никакой реакции на прикладывание пальца. Случается после обновлений Windows Если попробовать добавить отпечатки снова, сообщается, что они очень похожи на уже имеющиеся и зарегистрированные. Решение: в Параметры — Учетные записи — Варианты входа в разделе настройки отпечатков пальцев нажать кнопку «Удалить», а затем снова добавить нужные отпечатки. Если этот вариант не подошел, обратите внимание на дополнительное решение, которое будет описано в конце статьи.
- Аналогично тому, что вы можете наблюдать на смартфонах, влажные руки или загрязнение сканера могут быть причиной того, что сканер отпечатков пальцев ноутбука не срабатывает.
- Если при попытке настроить отпечаток пальца вы видите сообщение «Не удалось найти сканер отпечатков пальцев, совместимый с функцией Распознавание отпечатков пальцев Windows Hello», причина чаще всего в драйверах сканера (не установлены или установлены не те), решение — скачать и установить их вручную с сайта производителя ноутбука для вашей модели (ищем драйвер для Fingerprint Sensor или аналогичный). В некоторых случаях для старых ноутбуков (изначально выпускавшихся на Windows 7 или
может оказаться, что датчик действительно не совместим с Windows Hello. В диспетчере устройств сканер отпечатков пальцев находится в разделе «Биометрические устройства».
- Для работы функции должна работать «Биометрическая служба Windows», проверить её статус можно в Win+R — services.msc, тип запуска по умолчанию — «Автоматически».
может оказаться, что датчик действительно не совместим с Windows Hello. В диспетчере устройств сканер отпечатков пальцев находится в разделе «Биометрические устройства».
Дополнительный вариант, на случай если есть подозрение на неправильную работу функций входа с использованием биометрии, в том числе по отпечатку пальца (перед этим желательно создать точку восстановления системы и знать свои пароль и ПИН-код для Windows 10):
- В services.msc остановите и отключите биометрическую службу Windows.
- Перенесите файлы из папки C:\Windows\System32\WinBioDatabase в другое расположение (откуда их при необходимости можно будет восстановить), там чтобы их не осталось в указанной папке.
- Запустите и включите тип запуска «Автоматически» для биометрической службы Windows.
- Добавьте отпечатки пальца для входа через Параметры Windows
Надеюсь, инструкция поможет разобраться, а при наличии каких-либо проблем оперативно решить их.
[Windows 11/10] Настройка Windows Hello (биометрия, распознавание лица, сканер отпечатков пальцев)
[Windows 11/10] Настройка Windows Hello (биометрия, распознавание лица, сканер отпечатков пальцев)
Windows Hello — это более персональный и безопасный способ получить мгновенный доступ к устройствам Windows 11/10 с помощью отпечатков пальцев или распознавания лица. Вы сможете просто показать лицо или коснуться пальцем, не вводя пароль, чтобы разблокировать устройство.
Примечание: Варианты входа в Windows 11/10 могут отличаться в зависимости от разных устройств. Если Вы хотите войти с помощью отпечатков пальцев или распознавания лица, Ваш компьютер должен быть оснащен сканером отпечатков пальцев или камерой с инфракрасным (ИК) датчиком. Если Вы еще не настроили PIN-код, Вам нужно добавить PIN-код перед использованием других вариантов входа.
Пожалуйста, перейдите к соответствующей инструкции, исходя из текущей операционной системы Windows на Вашем компьютере:
- Windows 11
- Windows 10
Windows 11
Содержание:
- Вход с помощью распознавания лица
- Удалить распознавание лица
- Вход с помощью отпечатка пальца
- Удалить отпечаток пальца
- Настроить динамическую блокировку
Войти с помощью распознавания лица
Эта функция доступна только в некоторых моделях, оснащенных ИК-камерой. Если Вы не видите параметр входа в систему по лицу или этот параметр недоступен, это означает, что на Вашем компьютере нет ИК-камеры.
Вы можете найти технические характеристики Вашего компьютера на сайте ASUS
Также Вы можете проверить Диспетчер Устройств, чтобы узнать, оснащен ли Ваш компьютер ИК-камерой. Щелкните правой кнопкой мыши значок [Пуск] на Панели Задач ① и выберите [Диспетчер Устройств] ②.
Откройте раздел [Камеры] ③, чтобы увидеть, есть ли на Вашем компьютере ИК-камера
Настройка распознавания лица
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- Выберите [Распознавание лиц (Windows Hello)] ③ и нажмите [Настроить] ④.
- Выберите [Начать] ⑤.
- Введите PIN-код, который Вы используете в настоящее время для подтверждения Вашей личности ⑥.
- Пожалуйста, поместите свое лицо в центр кадра, который появится на экране, чтобы камера захватила Ваши черты лица.
- Распознавание Вашего лица завершено, нажмите [Закрыть] ⑦.
- Настройка лицевого входа завершена. Существует еще одна опция [Улучшить распознавание] ⑧, эта функция позволяет Вам сохранять фото в очках и без них. Если во время настройки распознавания лиц Вы были в очках, выберите этот параметр, чтобы снова выполнить настройку без них. Это поможет Windows распознавать Вас независимо от того, носите Вы очки или нет.
Вернуться в начало
Удалить распознавание лица
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- Выберите [Распознавание лиц (Windows Hello)] ③ и нажмите [Удалить] ④, функция входа по лицу будет удалена.
Вернуться в начало
Вход с помощью отпечатка пальца
Эта функция доступна только на некоторых моделях, оснащенных сканером отпечатков пальцев. Если Вы не видите параметр входа по отпечатку пальца или этот параметр недоступен, это означает, что на Вашем компьютере нет сканера отпечатков пальцев.
Пожалуйста, найдите сканер отпечатков пальцев Вашего компьютера. Сканер отпечатков пальцев большинства ноутбуков ASUS расположен на сенсорной панели.
Датчик отпечатков пальцев был интегрирован в клавишу питания на некоторых ноутбуках ASUS.
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- Выберите [Распознавание отпечатков пальцев (Windows Hello)] ③ и нажмите [Настроить] ④.
- Выберите [Начать] ⑤.
- Введите PIN-код, который Вы используете в настоящее время для подтверждения Вашей личности ⑥.
- Убедитесь, что Ваши пальцы чистые и сухие, затем поднимите и положите только один палец на датчик.
- Следуйте инструкциям на экране, чтобы несколько раз поднять и положить палец на датчик.
- Выберите [Далее] ⑦ и попробуйте использовать разные углы наклона пальца, чтобы захватить края отпечатка пальца при нажатии на датчик.
- Распознавание Вашего отпечатка пальца завершено, нажмите [Закрыть] ⑧.
- Настройка входа по отпечатку пальца завершена. Существует еще одна опция [Добавить палец] ⑨, Вы можете настроить отпечатки пальцев других пальцев.
Вернуться в начало
Удалите сканнер отпечатка пальца
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- Выберите [Распознавание отпечатков пальцев (Windows Hello)] ③ и нажмите [Удалить] ④, функция входа по отпечатку пальца будет удалена.
Вернуться в начало
Настройка динамической блокировки
Динамическая блокировка позволяет использовать устройства, сопряженные с Вашим компьютером, чтобы определить, когда Вы отсутствуете, и заблокировать компьютер вскоре после того, как сопряженное устройство выйдет за пределы диапазона Bluetooth. Эта функция усложняет доступ к Вашему устройству, если Вы отойдете от компьютера и забудете заблокировать его.
- Введите и найдите [Параметры входа] ① в строке поиска Windows, затем нажмите [Открыть] ②.
- В параметрах входа прокрутите вниз до раздела «Динамическая блокировка» и установите флажок [Разрешить Windows автоматически блокировать устройство, когда Вас нет] ③.
- Если Вы видите уведомление о том, что динамическая блокировка не работает, потому что на Вашем ПК нет сопряженного телефона ④, выберите [Bluetooth и устройства] ⑤ для сопряжения телефона с компьютером. Здесь Вы можете узнать больше о том, как установить сопряжение с Bluetooth.
- После того, как сопряжение будет завершено, оно будет отображаться, как показано ниже. Пожалуйста, возьмите с собой телефон, когда уходите, и Ваш компьютер автоматически заблокируется примерно через минуту после того, как Вы выйдете из зоны действия Bluetooth.
Вернуться в начало
Windows 10
Содержание:
- Вход с помощью распознавания лица
- Удалить распознавание лица
- Вход с помощью отпечатка пальца
- Удалить отпечаток пальца
- Настроить динамическую блокировку
Вход с помощью распознавания лица
Эта функция доступна только на некоторых моделях, оснащенных ИК-камерой. Если Вы не видите параметр входа в систему по лицу или этот параметр недоступен, это означает, что на Вашем компьютере нет ИК-камеры.
Вы можете найти спецификацию Вашего устройства на официальном сайте ASUS
Также Вы можете проверить Диспетчер Устройств, чтобы узнать, оснащен ли Ваш компьютер ИК-камерой. Щелкните правой кнопкой мыши значок [Пуск] на Панели Задач ① и выберите [Диспетчер Устройств] ②.
Откройте раздел [Камеры] ③, чтобы увидеть, есть ли на Вашем компьютере ИК-камера
Настройка распознавания лица
1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
2. Выберите [Распознавание лиц Windows Hello] ③ и нажмите [Настройка] ④.
3. Выберите [Начать] ⑤.
4. Расположите свое лицо в центре кадра, который появится на экране, и камера сохранит Ваши черты лица.
5. Распознавание Ваших черт лица завершено, выберите [настроить PIN] ⑥ чтобы создать PIN-код для входа, если функция распознавания лиц недоступна.
6. Укажите пароль от аккаунта ⑦, нажмите [OK] ⑧.
7. Пожалуйста, укажите новый PIN для настройки ⑨ и нажмите [OK] ⑩.
8. Настройка завершена. Есть еще вариант [Улучшить распознавание] ⑪, эта функция позволяет зафиксировать распознавание как в очках, так и без них. Если Вы носили очки во время настройки распознавания лиц, выберите этот параметр, чтобы снова выполнить настройку без них. Это поможет Windows узнать Вас независимо от того, в очках Вы или нет.
Вернуться в начало
Удалить распознавание лица
1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
2. Выберите [Распознавание лиц Windows Hello] ③ и нажмите [Удалить] ④, распознавание лица будет удалено.
Вернуться в начало
Вход с помощью отпечатка пальца
Эта функция доступна только на некоторых моделях, оснащенных сканером отпечатков пальцев. Если Вы не видите параметр входа по отпечатку пальца или этот параметр недоступен, это означает, что на Вашем компьютере нет сканера отпечатков пальцев.
Найдите сканер отпечатков пальцев на своем компьютере. Сканер отпечатков пальцев у большинства ноутбуков ASUS расположен на сенсорной панели.
Датчик отпечатков пальцев был интегрирован в клавишу питания на некоторых ноутбуках ASUS.
1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
2. Выберите [Распознавание отпечатков пальцев Windows Hello] ③ и нажмите [Настройка] ④.
3. Выберите [Начать] ⑤.
4. Убедитесь, что Ваши пальцы чистые и сухие, затем поднимите палец и положите его на датчик.
5. Следуйте инструкциям на экране, чтобы несколько раз приподнять и положить палец на датчик.
6. Выберите [Далее] ⑥ и попробуйте использовать разные углы Вашего пальца, чтобы захватить края Вашего отпечатка пальца при нажатии на датчик.
7. Распознавание Вашего отпечатка пальца завершено, выберите [настроить PIN] ⑦ для создания ПИН-кода для входа, если распознавание отпечатков пальцев недоступно.
8. Укажите пароль от аккаунта ⑧, затем нажмите [OK] ⑨.
9. Укажите новый PIN для настройки ⑩, нажмите [OK] ⑪.
10. Настройка входа по отпечатку пальца завершена. Есть еще вариант [Добавить еще] ⑫, Вы можете настроить отпечаток других пальцев.
Вернуться в начало
Удалить отпечаток пальца
- Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
- Выберите [Распознавание отпечатков пальцев Windows Hello] ③, затем выберите [Удалить] ④, возможность входа по отпечатку пальца будет удалена.
Вернуться в начало
Настроить динамическую блокировку
Динамическая блокировка позволяет Вам использовать устройства, сопряженные с Вашим компьютером, чтобы определять Ваше отсутствие и блокировать компьютер вскоре после того, как сопряженное устройство выйдет за пределы диапазона Bluetooth. Благодаря этой функции кому-либо будет сложнее получить доступ к Вашему устройству, если Вы отойдете от компьютера и забудете заблокировать его.
1. Укажите в поисковой строке Windows [Варианты входа] ① и нажмите [Открыть] ②.
2. В параметрах входа прокрутите вниз до раздела Динамическая блокировка и установите флажок [Разрешить Windows автоматически блокировать Ваше устройство, когда Вас нет] ③.
3. Если Вы видите уведомление о том, что динамическая блокировка не работает, потому что на Вашем компьютере нет сопряженного устройства, выберите [Bluetooth и другие устройства] ④, чтобы выполнить сопряжение устройства Bluetooth с Вашим компьютером. Здесь Вы можете узнать больше: Как установить сопряжение с устройством Bluetooth.
4. После завершения сопряжения блокировка будет отображаться, как показано ниже. Когда Вы отойдете от ПК, возьмите с собой устройство Bluetooth, и Ваш компьютер автоматически заблокируется примерно через минуту после того, как Вы окажетесь вне зоны действия Bluetooth.
Вернуться в начало
В подборках нововведений версии 20H1 можно было услышать примерно такую песню:
Теперь проще выполнить беспарольный вход в систему при помощи идентификации лица, отпечатка пальца или PIN-кода. Просто разрешите в настройках идентификацию при помощи Windows Hello.
Вряд ли автор понимает, о чем он пишет. Поэтому вполне объяснима реакция участника чата инсайдеров на такую формулировку.
Между тем, я недавно рассказывал в блоге про эту фичу, но фокусировался на решении проблемы с исчезновением настройки автоматического входа. Сегодня я продолжу тему и постараюсь расставить точки над i.
Как обычно, термины учетная запись Microsoft, аккаунт Microsoft и MSA обозначают одно и то же.
[+] Сегодня в программе
История вопроса
Беспарольный вход впервые появился в декабре 2018 года в сборке 18305, когда реализовали возможность добавлять в систему имеющуюся учетную запись Microsoft без пароля.
В Параметрах упоминание о беспарольном входе появилось в июле 2019 года в сборке 18936.
В октябрьской сборке 18995 сделали еще один шаг – вход с ПИН-кодом в безопасный режим. Так убрали последнее препятствие к полностью беспарольной аутентификации в ОС Windows.
В финальной версии 20H1 название фичи в параметрах изменилось. Беспарольный вход исчез из заголовка, уступив место Windows Hello.
Читатели со стажем помнят Microsoft Passport, систему аутентификации Microsoft. В начале пути Windows 10 она входила в состав системы. Позже компания объединила технологию с Windows Hello.
Windows Hello
Это современная система аутентификации Microsoft, которая привязана к устройству, построена на двухфакторной или двухэтапной аутентификации и заменяет пароли. С помощью Hello можно входить в:
- аккаунты Active Directory и Azure Active Directory (Windows Hello for Business)
- учетную запись Microsoft
- сервисы, поддерживающие FIDO2
Контекст этой статьи – домашняя среда, поэтому дальше речь пойдет про последние два пункта.
Регистрация аккаунта Microsoft на устройстве и вход в систему
Вход в учетную запись Microsoft с Windows Hello на устройстве с Windows 10 осуществляется только с помощью ПИН-кода и биометрии.
Пароль в сферу Hello не входит.
При регистрации аккаунта Microsoft на устройстве ПИН-код, идентификатор лица и отпечаток пальца защищаются парой криптографических ключей, которые генерируются аппаратно при наличии TPM 2.0 или программно.
Для регистрации MSA на устройстве требуется двухэтапная аутентификация, в т.ч. возможна беспарольная. Сервер Microsoft получает публичный ключ и ассоциирует его с аккаунтом пользователя, таким образом устанавливаются доверительные отношения.
Когда вы смотрите в камеру или проводите пальцем по сканеру отпечатков, полученные данные сверяются с ключами Hello. При успехе вы получаете токен аутентификации на вход в систему и доступ к сервисам с аккаунта компании на этом устройстве.
Назначение аппаратного ключа
С помощью аппаратного ключа FIDO2 можно входить без ввода пароля с зарегистрированной на устройстве учетной записью Microsoft на сайты и в приложения. Это финализировали в версии 1809, и в анонсе есть хорошее описание принципа аутентификации с ключом.
В Windows 10 аппаратный ключ можно задействовать при регистрации аккаунта Microsoft на устройстве, после чего входить в MSA с помощью Hello, т.е. ПИН-кода или биометрии.
Однако нельзя просто воткнуть флэшку и войти в учетную запись Microsoft на устройстве с Windows 10. Это работает только с аккаунтами Azure Active Directory, в т.ч. для Hybrid Azure AD.
В параметрах есть ссылка на KB4468253, где в частности говорится: аппаратный ключ используется в дополнение к ПИН-коду или биометрии, поэтому владеющий только ключом человек не сможет выполнить вход в аккаунт. Подтекст такой, что сначала надо выполнить вход в систему с Windows Hello, т.е. аутентификация двухфакторная.
Вы знаете ПИН-код или обладаете биологической особенностью (лицо, отпечаток пальца) и владеете ключом.
Конечно, если вы вошли в систему с Hello и оставили ПК без присмотра, злоумышленник может вставить ключ и авторизоваться с вашей MSA на сайте.
Как создать учетную запись Microsoft без пароля
Беспарольный аккаунт Microsoft создается с номером телефона, нежели с заданным вами адресом электронной почты. В интернетах мне попадались инструкции о том, как это сделать в Windows 10, но их авторы явно не пробовали пройти процесс 
Создать учетную запись Microsoft без пароля можно только в сторонних мобильных ОС 🙈
В Android и iOS в приложениях Microsoft Office (Word, Excel, Office и т.д.) вы можете создать MSA, указывая номер телефона. Если при попытке входа система определяет, что такого аккаунта нет, она предлагает создать новый. Пароль не требуется, а создание учетной записи подтверждается кодом в SMS.
Затем вы можете (и я рекомендую) использовать вместо SMS беспарольную 2FA в приложении Microsoft Authenticator.
Если же создавать MSA на сайте Microsoft https://signup.live.com/ или в параметрах Windows 10, указывая номер телефона, система требует задать пароль.
Причину эксклюзивности мобильных ОС объяснил мне в Твиттере глава подразделения Microsoft Identity.
Most laptops/PCs can’t receive an SMS code. So we see a lot of drop off in user success when a phone is required to complete a flow from a PC.
— Alex Simons (@Alex_A_Simons) August 11, 2020
Видимо, значительный процент людей пытается вводить несуществующие номера телефонов или домашние номера, куда SMS не проходит ¯\_(ツ)_/¯
Однако если учетная запись Microsoft без пароля уже создана, начиная с версии 1903, вы можете добавить ее на устройство уже во время установки Windows. После установки это можно сделать в Параметры – Учетные записи в разделах:
- Ваши данные — при переключении с локального аккаунта на свою MSA
- Семья и другие пользователи – при создании аккаунта для другого человека или отдельного профиля для своей MSA
Как я объяснил выше, учетная запись Microsoft регистрируется на устройстве при первой успешной аутентификации, а дальше вы входите в систему с Hello.
При желании вы можете задать пароль в настройках безопасности аккаунта. Адрес электронной почты добавляется там же в настройках профиля, но об этом Windows 10 вам будет напоминать сама.
Ключевая особенность беспарольного входа в версии 20H1+
Сводка изменений в двух версиях Windows 10 такова:
- 1903 — можно использовать на устройстве с Windows 10 аккаунт [Microsoft], требующий аутентификации, но не имеющий пароля в принципе
- 20H1 — можно отключить вход с паролем в учетную запись Microsoft, а также входить с ПИН-кодом в безопасный режим
Теперь можно вернуться к началу статьи и недоуменной реакции на нововведения у людей, которые в ноутбуках входили в аккаунт с помощью биометрии еще лет дцать назад, благодаря ПО и драйверам вендоров.
Ранее биометрический вход существовал наряду с парольным, даже если сам пароль был пустой. Равно как в такой аккаунт всегда можно было войти с паролем. Теперь, создав MSA без пароля или включив беспарольный вход, вы входите только с ПИН-кодом и биометрией.
В этом и заключается отличие от предыдущих версий Windows 10, более старых ОС Windows и решений вендоров.
Преимущества беспарольного входа и MSA без пароля
Я недавно проводил опрос и выяснил, что MSA в Windows 10 используют меньше половины людей даже в самой прогрессивной группе моей аудитории. Поэтому большинству читателей до беспарольных аспектов еще далеко. Впрочем, они и не сулят потребителям манны небесной.
- Требование Windows Hello. Поскольку Hello привязано к устройству, пароль не передается по сети. Такой подход укрепляет безопасность, но здесь основные бенефициары – организации, а домашним пользователям это ничего не дает.
- Учетная запись Microsoft без пароля. Если у вас нет пароля, вы его не забудете, равно как не сольете случайно посторонним лицам, например, попав под фишинговую атаку. Тут кроме пользы нет вреда, но нельзя терять контроль над номером телефона.
Подводные камни беспарольного входа
Есть несколько аспектов, которые вам надо учитывать, форсируя вход с Windows Hello и/или используя аккаунт Microsoft без пароля.
Невозможен автоматический вход в систему
Применимо к: требование входа с Hello / беспарольная MSA
Это я разбирал в прошлой статье в контексте форсирования входа с Hello. Если оно выключено, у беспарольной MSA ожидаемо есть возможность настройки автоматического входа. Но там надо задавать пароль, в т.ч. пустой, которого у аккаунта нет в принципе.
Недоступен вход с графическим паролем
Применимо к: требование входа с Hellо / беспарольная MSA
Первое логично следует из отключения парольного входа, а у второго нет никаких паролей в вариантах входа вне зависимости от того, требуется Hello для входа или нет.
Невозможно удаление ПИН-кода
Применимо к: требование входа с Hello / беспарольная MSA
На форум пришел человек, у которого была неактивна кнопка удаления. Нестыковка коллекционная, конечно, хотя вполне объяснимая.
Логика такова: если ломается сканер отпечатков и/или камера, ПИН-код – единственный способ входа без пароля.
Невозможен вход в локальную среду восстановления
Применимо к: беспарольная MSA
В отличие от безопасного режима, в среду восстановления с ПИН-кодом не войти. Для доступа к опциям восстановления (удаление исправлений) и диагностическим инструментам Windows RE (командная строка) требуется пароль администратора. Поэтому войти в беспарольную учетную запись Microsoft не получится, даже если вы переключились на нее с локального аккаунта, у которого пароль был установлен.
На картинке видно, что изначально использовался локальный аккаунт Admin, который я переключил на беспарольную MSA. Пароль от Admin ожидаемо не подходит.
В качестве обходного пути можно загрузиться в RE с установочной флэшки – в этом случае пароль администратора не запрашивается.
Еще одна неочевидная альтернатива – шифрование диска BitLocker, в том числе автоматическое. При входе в локальную RE требуется ввести 48-значный пароль восстановления, после чего экран с выбором администратора и вводом пароля уже не появляется.
Невозможно подключение по RDP или вход в сетевую папку
Применимо к: беспарольная MSA / MSA с паролем при беспарольной регистрации
У этих граблей два варианта.
Беспарольная MSA
Подключение по RDP и вход в сетевую папку подразумевают парольную аутентификацию, а для беспарольной MSA просто нечего указывать в качестве пароля. Однако по RDP можно подключиться к имеющей пароль MSA, даже если требование Hello включено, т.е. локальный вход с паролем невозможен.
MSA с паролем при беспарольной регистрации на устройстве
Проблема возникает, если добавление MSA на устройство проводится без ввода пароля, т.е. аутентификация выполняется по уведомлению в приложении Microsoft Authenticator. В этом случае Windows не с чем сравнить пароль, который вы вводите при подключении по RDP или входе в сетевую папку. Решение я опубликовал в своем канале Telegram.
Примечание. При использовании MSA с паролем вы можете столкнуться с проблемой подключения к ВМ на Hyper-V в режиме расширенного сеанса.
Литература (EN)
- Windows Hello for Business
- Why a PIN is better than a password
- Building a world without passwords
- Advancing Windows 10 as a passwordless platform
- Secure password-less sign-in for your Microsoft account using a security key or Windows Hello
Заключение
Несколько лет назад Microsoft взяла курс на беспарольную аутентификацию и с тех пор следует ему. Windows Hello отлично сочетается с облачными сервисами компании (Azure AD) и даже укрепляет безопасность традиционной инфраструктуры.
Домашним пользователям перепадает с корпоративного стола, но для них беспарольная технология еще не обрела законченный вид. С другой стороны, большинство людей до сих пор использует пароли Qwert321 для всех аккаунтов, сторонится MSA, двухфакторной аутентификации и прочих решений, защищающих учетные записи и личные данные.
Наверное, со временем беспарольные аккаунты станут мейнстримом, но для этого также понадобятся усилия Apple, Google и множества других компаний.
Конкретных дискуссионных тем я сегодня не предлагаю. Статья разъясняет технические нюансы, не играя на эмоциях, а MSA мы обсуждали в прошлый раз. Однако ваши вопросы и мысли по теме я всегда рад видеть в комментариях!