Windows Hello 是微软为 Windows 系统推出的一项先进的多因素身份验证技术。它提升了设备的安全性,同时简化了用户的登录体验。与传统密码不同,Windows Hello 主要依赖人脸识别、指纹识别或 PIN 码等生物特征和设备独有的凭据,让解锁设备变得更加快速和安全。
Windows Hello 的运作机制
Windows Hello 通过结合生物识别技术和安全的 PIN 码,将你的电脑打造成一个更安全、更可信的设备。其工作原理基于以下几项关键技术和步骤:
- 生物特征采集:在首次设置 Windows Hello 时,系统会采集你的面部、指纹或虹膜等生物特征信息(也可以单独使用 PIN 码)。
- 模板生成:系统会根据采集到的生物特征信息生成一个数学模型,这个模型被称为「模板」。模板中包含了经过加密处理的生物特征值,但不包含原始生物特征数据,符合隐私保护标准。
- 基于设备的加密密钥:Windows Hello 使用了公钥加密技术来保护身份验证信息。系统会生成一对公钥和私钥,私钥安全存储在设备的 TPM(可信平台模块)中。TPM 确保私钥不会离开设备,并在需要时解锁身份验证密钥。
- 匹配模板:当你在通过 Windows Hello 登录时,系统会重新采集生物特征信息,并与存储的「模板」进行比对。
- 验证结果:比对成功后,系统会调用 TPM 中的私钥完来成本地验证,或在登录在线服务时使用公钥进行验证。
- 登录完成:验证通过后,用户就可以访问设备和所需的应用程序资源。
安全性与技术优势
Windows Hello 旨在打造一个无密码登录环境,并同时保证最高的安全标准。它集成了多项安全特性和技术优势:
- 抗密码攻击:摒弃传统密码,使用生物特征和设备绑定的凭据,有效防止重放攻击、网络钓鱼和伪造攻击,杜绝密码泄露或重复使用的风险。
- 本地认证:PIN 和生物特征认证均为本地验证,即使攻击者获取 PIN,也无法在其他设备上登录。
- 数据隐私保护:生物特征数据(如人脸图像)仅存储于本地设备,不会上传到云端。
- 多样化验证支持:Windows Hello 不仅支持 Microsoft 帐户,还兼容 FIDO2 无密码认证标准和 WebAuthn 协议,可以兼容其他身份验证服务提供商,适用于更多身份验证场景。
使用 Windows Hello PIN
Windows Hello 的 PIN 码是提升设备安全性的关键工具。PIN 码由设备内的 TPM 保护,始终保存在本地。输入正确的 PIN 码后,它会解锁身份验证密钥,用于签署并发送验证请求。
如果多次输错 PIN 码,设备会自动锁定,防止暴 力 破 解。此外,IT 管理员还可以配置 PIN 码的安全策略,如复杂性、长度和过期时间等,进一步增强安全性。
在 Windows 11 中,创建新帐户时系统会提示设置 PIN 码。如果跳过了此步骤(使用密码),可以按以下步骤重新启用:
1、使用Windows + I
快捷键打开「设置」,依次选择「帐户」>「登录选项」。
2、点击「PIN (Windows Hello)」,选择「设置」,并根据提示输入帐户密码进行验证。
在设置 Windows Hello PIN 时验证帐户密码
3、设置并确认新的 PIN 码。
添加 Windows Hello PIN
默认的 PIN 码至少需要 4 位数字(0-9)。如果你想提高安全性,可以勾选「包括字母和符号」选项,设置更复杂的 PIN 码。
更改 PIN 码
如果你需要修改 PIN 码,可以按照以下步骤操作:
1、使用Windows + I
快捷键打开「设置」,依次选择「帐户」>「登录选项」。
2、展开「PIN (Windows Hello)」选项,点击「更改 PIN」,并按提示完成修改。
更改 Windows Hello PIN
使用 PIN 登录
在使用 PIN 码登录 Windows 11 系统时,直接在键盘上输入数字即可,无论数字锁定键(Num Lock)是否开启。输入时系统会自动识别,也无需按「回车」确认。
使用 Windows Hello 生物识别
硬件要求
要使用 Windows Hello 的人脸和指纹识别功能,设备必须符合微软的生物识别安全标准。具体来说,Windows 11 设备需要满足以下硬件要求之一:
- 指纹识别:需要配备支持 Windows Biometric Framework 的指纹传感器。如果设备没有内置指纹识别功能,也可以使用外接的 USB 指纹传感器。
- 人脸识别:设备需配备 3D 红外摄像头(如 Microsoft Surface 设备上的摄像头)。普通网络摄像头不支持此功能。
人脸识别只接受注册时使用的摄像头进行验证。如果添加了新的外接摄像头,需先通过内部摄像头的身份验证。当然,你也可以选择禁用外部摄像头进行面部识别,以进一步提升安全性。
添加人脸或指纹识别信息
在添加人脸或指纹信息之前,请先创建一个 PIN 码作为备用登录方式。如果物识别硬件故障或识别失败,还可使用 PIN 码登录系统。
1、使用Windows + I
快捷键打开「设置」,依次选择「帐户」>「登录选项」。
2、根据硬件类型,选择「面部识别 (Windows Hello)」或「指纹识别 (Windows Hello)」,然后点击「设置」。
设置 Windows Hello 指纹识别
3、根据屏幕提示完成以下操作:
- 面部识别:正对摄像头,系统将自动引导完成注册。
- 指纹识别:根据提示多次扫描指纹,直到系统完成记录。你可也以点击「添加其它手指」来添加更多指纹作为备用。
验证 PIN 码
根据提示录入指纹
4、完成设置并重启系统后,你就可以可使用新登记的指纹或面部信息登录系统。
Windows Hello 为 Windows 11 用户提供了更便捷、安全的登录方式,利用生物特征和设备绑定的凭据,避免了传统密码的弊端。通过设置 PIN 码、指纹和人脸识别信息,你可以轻松提升设备的安全性,同时享受快速解锁的便利。