Miten Windows Hello PIN toimii?

Kirjoitettu 13-04-2021

Jos käytät Windows 10:tä, olet ehkä joskus käyttänyt Windows Hellon PIN-koodia salasanan sijaan. PIN-koodia voi käyttää salasanan lisäksi muutenkin, mutta jos käyttää kasvojentunnistusta tai sormenjäljenlukijaa, on PIN-koodin asettaminen pakollista.

Oletko koskaan miettinyt, miten 4 numeroinen numerosarja voi muka olla turvallisempi kuin salasana, joka yleensä sisältää isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä sekä on paljon pidempi kuin PIN-koodi?

PIN-koodi sisältää yleensä pelkkiä numeroita joko neljä tai kuusi kappaletta, mutta asetuksista riippuen se voi sisältää myös kirjaimia (isoja tai pieniä) sekä jopa erikoismerkkejä eli se voi olla aika samankaltainen kuin salasana.

PIN-koodi on sidottu laitteeseen

PIN-koodista tekee salasanaa turvallisemman se, että se on sidottu kyseiseen laitteeseen jossa se on käytössä. Sama PIN-koodi ei toimi toisessa laitteessa ja vaikka joku tietäisi PIN-koodisi, sillä ei tee mitään ilman laitetta johon se määritetty.

PIN on paikallinen

Yritysverkossa salasana on tallennettu Active Directoryyn, josta se tarkistetaan kirjauduttaessa. Sama salasana voi olla myös Azure Active Directoryssa, jolloin se tarkistetaan internet-yhteyden yli.
PIN-koodi on tallennettu laitteeseen vain paikallisesti, eikä sitä lähetetä mihinkään eikä sitä ole laitteen lisäksi talletettu minnekään.

Kun PIN-koodi luodaan, luodaan samalla salausavainpari. Kun PIN-koodia käytetään, se avaa salausavaimen, jota taas käytetään allekirjoittamaan kirjautumispyyntö. Tämän prosessin jälkeen kirjautuminen hyväksytään ilman että PIN-koodia tarvitsee lähettää mihinkään.

TPM-piiri suojaa PIN-koodia

TPM-piiri on tietokoneessa oleva salauspiiri, joka hoitaa PIN-koodin tarvitseman salauksen ja salauksen purun tietoturvallisesti.
Samaa TPM-piiriä käytetään myös BitLocker-levynsalauksen kanssa.
TPM-piirissä on erilaisia suojauksia hyökkäyksiä varten, kuten laitteen lukitseminen liian monen virheellisen arvauksen jälkeen, jolloin PIN-koodia ei voi murtaa antamalla tietokoneen laskea mahdollisia vaihtoehtoja niin kauan kunnes oikea vaihtoehto selviää (ns. brute-force-hyökkäys).

Mitä jos laite varastetaan?

Jotta PIN-koodilla suojattuun laitteeseen pääsee käsiksi, pitäisi varkaalla olla fyysinen pääsy laitteelle jonka PIN halutaan murtaa.
Varkaan pitäisi onnistua murtamaan Käyttäjän asettama biometrinen suojaus (kasvojentunnistus, iiris-skannaus tai sormenjälki) tai arvaamaan PIN-koodi.
Jotta tämä onnistuisi, se pitäisi kaiken lisäksi tehdä ennen kuin TPM-piirin liian monta väärää arvausta vastaan tehty suojaus aktivoituu. Jos suojaus aktivoituu, ei kirjautumista enää pysty yrittämään.

Miksi biometrisen suojauksen lisäksi tarvitaan PIN-koodi?

Jos tietokone on suojattu esimerkiksi sormenjäljellä, voi ihmetellä miksi lisäksi pitää olla PIN-koodi. Eikö muka sormenjälki suojaa kirjautumisen riittävän hyvin?
Sormenjälki ei kuitekaan aina välttämättä toimi, jos sormet tai sormenjäljenlukija ovat likaiset tai jos sormenjäljenlukissa on jokin vika. Kasvojentunnistuskin saattaa toimia huonosti jos huoneessa on liian hämärää.

Tietenkin tietokoneelle pääsee tässä tapauksessa myös salasanaa käyttämällä, mutta edellä mainittujen asioiden vuoksi PIN-koodin käyttäminen on turvallisempaa kuin salasanan.

Lähde: https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-why-pin-is-better-than-password