密碼難以記憶且容易丟失。無論是人們在多個(gè)站點(diǎn)上重復(fù)使用相同的弱密碼，還是在不保護(hù)用戶數(shù)據(jù)并在數(shù)據(jù)泄露中暴露用戶名和密碼的服務(wù)，簡單的密碼都無法提供足夠的保護(hù)。這就是為什么windows10正朝著更安全的選擇方向發(fā)展，例如生物識(shí)別，令牌和推送認(rèn)證 - 包括支持新的FIDO 2互聯(lián)網(wǎng)身份標(biāo)準(zhǔn)。

手指和臉

Windows Hello使指紋傳感器和紅外線面部識(shí)別相機(jī)等生物識(shí)別技術(shù)變得更加容易，使其成為您登錄的標(biāo)準(zhǔn)方式的一部分，而不是讓OEM將此功能添加到帳戶流程中。

面部，手指和其他生物特征因素（如手部靜脈打印）不能像密碼一樣進(jìn)行網(wǎng)絡(luò)釣魚，也不會(huì)通過網(wǎng)絡(luò)發(fā)送，也不會(huì)像密碼一樣在設(shè)備之間漫游。這意味著進(jìn)入網(wǎng)絡(luò)的攻擊者無法從PC中獲取和重用憑據(jù)來訪問服務(wù)器。 Windows 10具有像Credential Guard這樣的保護(hù)措施，通過運(yùn)行以虛擬安全模式存儲(chǔ)它們的LSA服務(wù)，使攻擊者更難獲取憑據(jù)。還有一個(gè)新的Cloud Credential Guard，可以使用TLS令牌綁定保護(hù)Azure AD令牌等云憑據(jù)。但是，切換到生物識(shí)別技術(shù)意味著憑證不會(huì)受到影響，因?yàn)樗鼈儾粫?huì)來回發(fā)送。

使用Windows Hello注冊指紋或面部等生物特征會(huì)創(chuàng)建一個(gè)加密密鑰對，該密鑰對存儲(chǔ)在TPM（或軟件TPM）中，并與Microsoft帳戶和Azure Active Directory等身份服務(wù)一起使用。如果您在多臺(tái)Windows PC上注冊相同的指紋或面部，則每個(gè)設(shè)備都會(huì)創(chuàng)建一個(gè)唯一的密鑰對 - 而不是第一個(gè)設(shè)備上的密鑰對的副本。

你不會(huì)忘記密碼的方式留下你的臉或指紋，但如果你的手指被割傷或者在異常黑暗或明亮的環(huán)境中工作，你仍然需要一種登錄方式。面部識(shí)別相機(jī)無法清楚地看到你。無法識(shí)別的生物識(shí)別技術(shù)的后備仍稱為PIN，但除了數(shù)字外，它還可以包含特殊字符以及密碼等大寫和小寫字母。企業(yè)策略決定了PIN的復(fù)雜程度（Windows 10的家庭版只對您的PIN中的四位數(shù)字感到滿意）。但事實(shí)是它們只存儲(chǔ)在設(shè)備上（沒有漫游到具有相同帳戶的其他設(shè)備）并且僅用于解鎖用于簽署對服務(wù)器的請求的身份驗(yàn)證密鑰（不是以密碼的方式發(fā)送到服務(wù)器）使PIN比密碼更安全。此外，PIN存儲(chǔ)在TPM中，而密碼則不存儲(chǔ)。

如果您的PC沒有面部相機(jī)或指紋傳感器，您可以將其插入U(xiǎn)SB端口，或者您可以使用Nymi Band等“配套設(shè)備”使用您的心跳和ECG來識(shí)別您。

使用Windows 10的下一個(gè)版本，您將能夠使用Windows Hello生物識(shí)別技術(shù)登錄遠(yuǎn)程桌面會(huì)話。如果您使用生物識(shí)別技術(shù)登錄Windows，則在打開RDP會(huì)話時(shí)將自動(dòng)登錄到遠(yuǎn)程桌面（盡管如果您需要在遠(yuǎn)程會(huì)話中確認(rèn)Windows密碼，例如提升對話框，必須輸入PIN碼。

但生物識(shí)別技術(shù)并不適用于所有情況或每個(gè)人。幾乎所有生物識(shí)別，從指紋到手部靜脈印刷到虹膜，僅適用于大約80％的人口。例如，一些中國老年婦女和在干洗店工作的人的指紋不能很好地掃描。更換密碼是關(guān)于使用多種因素，包括其他設(shè)備。如果你有一個(gè)YubiKey用于Gmail，GitHub和DropBox等服務(wù)，你可以通過將它插入你的PC登錄Windows Hello（你還需要YubiKey for Windows Hello應(yīng)用程序）。

您可以使用帶有短信的電話或驗(yàn)證器應(yīng)用程序登錄Windows，這種方式可以使用這種多因素身份驗(yàn)證來登錄Twitter或Gmail更安全，但這并不是特別方便。當(dāng)你離開它時(shí)使用手機(jī)鎖定你的設(shè)備是很方便的;一旦您通過藍(lán)牙將手機(jī)與PC配對，您可以使用動(dòng)態(tài)鎖定功能在超出范圍時(shí)將其鎖定。您可以在“設(shè)置”應(yīng)用中的“帳戶”>“登錄”選項(xiàng)下啟用該功能。管理員可以使用計(jì)算機(jī)配置管理模板 Windows組件 Windows Hello for Business 配置動(dòng)態(tài)鎖定因子組策略來設(shè)置PC鎖定之前藍(lán)牙信號(hào)的弱點(diǎn)。

訪問：

微軟官方原版鏡像        免激活Win10純凈版

你是不是在找我？

到目前為止，Windows Hello僅處理了您的Windows密碼，Microsoft Store以及您為Azure Active Directory單點(diǎn)登錄而設(shè)置的所有服務(wù)。隨著Windows 10的下一個(gè)版本，我們將最終看到更多的FIDO 2標(biāo)準(zhǔn)。直接支持FIDO 2安全密鑰，如Yubikeys和智能卡（不需要每個(gè)單獨(dú)密鑰的特定應(yīng)用程序），預(yù)覽有限。

這不是對Windows Hello的重大更改，它是為早期版本的FIDO協(xié)議構(gòu)建的;現(xiàn)在已經(jīng)同意更新FIDO 2安全密鑰標(biāo)準(zhǔn)和W3C Web身份驗(yàn)證API。這意味著具有FIDO 2安全密鑰的用戶可以登錄任何Azure AD加入的PC，而無需先在其上設(shè)置帳戶，這對于一線和移動(dòng)工作人員來說是理想的選擇。

這也意味著，隨著瀏覽器的實(shí)施和網(wǎng)站采用新的WebAuthn API，Windows Hello也將能夠開始替換瀏覽器中的密碼，當(dāng)網(wǎng)站支持時(shí)，使用生物識(shí)別技術(shù)或FIDO UAF安全密鑰在沒有密碼的情況下登錄。 WebAuthn還支持雙因素U2F選項(xiàng)，您可以使用用戶名和密碼以及FIDO安全密鑰或Windows Hello生物識(shí)別技術(shù)作為第二個(gè)因素。自2016年以來，Edge一直支持WebAuthn的預(yù)覽版本;在構(gòu)建17723（目前可供Windows Insiders使用）中，Edge支持API的候選推薦，但它不適用于基于Web的PWA或UWP應(yīng)用程序。目前還沒有很多網(wǎng)站支持WebAuthn，但您可以在此示例應(yīng)用程序中試用它，并且有關(guān)于向您自己的內(nèi)部網(wǎng)站添加WebAuthn支持的說明。

除了新的憑證外，Windows還將直接支持更多身份提供商。 Windows Hello適用于支持OAuth 2.0和OpenID Connect 1.0必要擴(kuò)展的Azure AD，Active Directory和第三方聯(lián)合服務(wù)器。在windows10的下一個(gè)版本中，Windows登錄將支持SAML身份提供程序 - 而不僅僅是與ADFS和其他WS-Fed提供程序聯(lián)合的身份。

您需要Azure AD才能使用此新Web登錄，并且必須啟用策略CSP /身份驗(yàn)證/ EnableWebSignIn組策略。這不太可能動(dòng)搖企業(yè)中Active Directory的主導(dǎo)地位，但對于使用Oracle Identity Federation等SAML系統(tǒng)的組織來說，這些帳戶顯示為登錄Windows的選項(xiàng)會(huì)更加方便。