Windows Hello PIN 输错后锁定阈值的测试

卡小饭

最近尝试了微软账户的无密码登录，后来发现本地电脑的 PIN 即可登录微软账户，觉得不够安全。因对 PIN 机制的不了解，感觉 PIN 就像银行卡取款密码似的，设置几个数字，就可以登录微软账户，这也太随意了吧。
那如何防止接触物理主机的人，尝试猜测密码，登录系统呢？！


带着这个想法，我找到了早期一些关于设置 Windows 10 登录错误次数限制的文章，大意如下：
1.同时按压Win+R组合键打开运行窗口，输入gpedit.msc命令行，点击确定按钮，打开本地组策略编辑器；
2.依次点击展开：计算机配置→Windows设置→安全设置→账户策略→账户锁定策略；
3.双击打开“帐户锁定阈值”项，在打开的“账户锁定阈值属性”窗口，设定锁定账户的次数，默认为0即不自动锁定帐户。


开了虚拟机后，按上述方法做测试，和预期的不太一样，后来重新恢复系统，再次做测试，基本确认，早期的组策略设置对现在的 windows hello 安全机制没有影响。


测试条件：
1.系统版本：zh-cn_windows_10_consumer_editions_version_21h2_updated_may_2022_x64_dvd_97a670d9 （2022年5月更新版）
2.系统状态：安装过程中验证码激活系统
3.登录账户：使用微软的无密码登录账户登录系统

模拟猜测 PIN 登录系统的过程：
第一次，输入4次PIN错误后，系统要求输入质询短语后，然后再给一次输入PIN的机会；

这次机会，再输错，就要重启电脑，重启后再输错4次，PIN禁用30秒钟；


30秒后，再次要求输入质询短语后，即可再输入一次，输入错误后，重启电脑；
重启后，再输错四次， PIN 被禁用1分钟。



每输错四次后，输入一次质询短语，再给一次输入PIN的机会，如再输入错误，系统要求重启设备，重启电脑后，再输入四次错误，PIN 禁用时间加倍延长，参加下图。



经过实测发现，无需在组策略中对“帐户锁定阈值”项设置，即可实现连续输出一定的错误次数后自动禁用，并且禁用时长随每重启一次周期加倍。
                        
Windows hello 自带的安全策略，就可以有效的防止暴力破解本地设备 PIN 。

测试中发现，每次尝试输入PIN 的位数和预设的位数及数字/字母有关，即预设的是6位的数字PIN，输入时，字母区域无法使用，且数字区到了6位自动识别输入正确与否。

当你正确的输入过一次PIN后，上述“PIN禁用”自动清零。
                        
结论：设置“适度”难度的 PIN 即可防止物理主机被“猜测”非法登录，也可以大大缓解输入 PIN 的时间和记忆难度。
                        
最合适的 Windows 登录方式是，指纹识别器为主 + 适度难度的 PIN 备用，即时忘记 PIN ，也可以通过微软账户恢复。

好久每写东西了，记录并分享一下自己的测试过程。

2022-06-22

APPID

666
钻研精神值得肯定

峪飞鹰

不知道微软是如何设置pin超时时间的，如果没有TPM加密芯片的加持，那么这个pin的超时时间是否意味着可以在重启的时候，通过pe或者其它u盘进入系统并修改文件or注册表实现pin超时清零？如果是软件+硬件自动化的话，是否有机会暴力破解6位数pin？

卡小饭

峪飞鹰 发表于 2022-6-23 10:03
不知道微软是如何设置pin超时时间的，如果没有TPM加密芯片的加持，那么这个pin的超时时间是否意味着可以在 ...

PIN 禁用延时倍增机制，应该至少是和 Windows 系统时钟关联的（断网的情况下），如果想通过PE或拆盘的方式绕过这个机制，就更好应对了——Bitlooker或VeraCrypt。

在 Windows 系统这个级别上，我觉得一般人是很难实现 API 到 PIN 输入框进行暴力破解的，再加上全盘/驱动器级的加密，应该可以堵住绝大多数人的“攻击”。

PIN 和 TPM有没有直接关系，我还不太清楚，只知道Bitlooker等驱动器加密软件可以用到，但国内销售的大部分笔记本好像不允许带TPM2.0模块。

卡小饭

APPID 发表于 2022-6-23 09:45
666
钻研精神值得肯定

谢谢鼓励！！！

asdawskf

支持下，顺便学习