Pri inštalácii Windowsu vás systém takmer núti nastaviť si PIN kód. Pôsobí to nelogicky: heslo má písmená aj čísla, PIN sú len štyri číslice. Ako môže byť kratšia kombinácia bezpečnejšia? Odpoveď je prekvapivá, ale technicky úplne v poriadku.

Prečo sa zdá, že PIN je slabší

Heslo môže mať dvadsať znakov, veľké aj malé písmená, čísla a symboly. PIN býva štvor- alebo šesťmiestny. Z pohľadu „koľko kombinácií treba uhádnuť" je heslo zjavne silnejšie.

Lenže bezpečnosť prihlásenia nie je len o počte kombinácií. Rozhoduje aj to, kde sa údaj nachádza, ako sa overuje a čo sa stane, keď ho niekto získa. A práve v týchto bodoch PIN heslo poráža.

PIN nikdy neopustí váš počítač

Toto je hlavný rozdiel. PIN (Windows Hello PIN) je lokálny - viaže sa na jedno konkrétne zariadenie a nikdy neodchádza zo systému. Neposiela sa cez sieť, neukladá sa na servery Microsoftu a nedá sa odchytiť po ceste.

Heslo k účtu funguje opačne. Je rovnaké na každom zariadení a pri prihlásení putuje na server. Útočník ho môže získať phishingom (podvodná stránka, ktorá vás vyláka zadať heslo) a potom sa s ním prihlásiť z hocijakého počítača na druhom konci sveta.

S PIN-om to nejde. Aj keby ho niekto odpozeral, bez vášho fyzického počítača je úplne nepoužiteľný. Práve preto je PIN na samotné prihlásenie do zariadenia bezpečnejší než heslo.

PIN chráni hardvérový čip TPM

Tu sa rieši aj otázka „štyri číslice sa predsa dajú uhádnuť". PIN sám o sebe nič neodomyká. Slúži len na odomknutie kľúča, ktorý je uložený v bezpečnostnom čipe TPM priamo v počítači.

A tento čip má vstavanú ochranu proti hádaniu. Po niekoľkých chybných pokusoch sa uzamkne na hardvérovej úrovni a ďalšie skúšanie odmietne. Útok hrubou silou (automatické skúšanie všetkých kombinácií) tak nezlyhá na dĺžke PIN-u, ale na samotnom hardvéri, ktorý ho jednoducho prestane prijímať. Viac o tom, ako tento čip funguje, nájdete v článku o čipe TPM 2.0.

Je to vlastne dvojfaktorové overenie

Keď to spojíme dohromady, PIN spĺňa princíp viacfaktorového prístupu:

  • Niečo, čo MÁTE - konkrétne zariadenie s čipom TPM.
  • Niečo, čo VIETE - samotný PIN.

Ani jedna časť nestačí sama o sebe. Bez zariadenia je PIN bezcenný, bez PIN-u sa kľúč v TPM neodomkne. Je to rovnaký princíp, na akom stojí aj dvojfaktorové overenie (2FA), len zabudovaný priamo do prihlásenia.

PIN je základ pre biometriu aj prihlásenie bez hesla

PIN nie je len náhrada hesla. Je základom Windows Hello, teda aj prihlásenia odtlačkom prsta či tvárou. Biometria je pohodlnejšia, no PIN ostáva ako spoľahlivá záloha pre prípad, že snímač zlyhá alebo máte mokré ruky.

Zároveň je to krok smerom k prihláseniu bez hesla cez passkeys. Princíp je rovnaký ako pri PIN-e: prihlasujete sa kombináciou zariadenia a PIN-u alebo biometrie, čo je odolné voči phishingu, lebo niet hesla, ktoré by sa dalo vylákať alebo odchytiť.

Prečo to Microsoft tlačí všade

Dôvod je jednoduchý a v prospech používateľa. PIN naraz rieši hneď niekoľko problémov:

  • Znižuje phishing - neexistuje heslo, ktoré by vám niekto vylákal na podvodnej stránke.
  • Bráni opakovanému používaniu hesiel - PIN je viazaný na zariadenie, nedá sa „použiť všade rovnako" ako jedno heslo.
  • Je pohodlnejší - štyri číslice zadáte rýchlejšie než dlhé heslo.
  • Je bezpečnejší pri prihlásení - vďaka lokálnosti a ochrane TPM.

Pre Microsoft to znamená menej napadnutých účtov a menej hesiel, ktoré sa môžu uniknúť pri úniku dát.

Na čo si treba dať pozor

PIN nie je kúzlo, ktoré vyrieši všetko. Stále platí pár pravidiel:

  • Chráňte si PIN. Ak vám niekto ukradne počítač a pozná váš PIN, dostane sa dnu. Pomáha automatický zámok obrazovky a to, že TPM uzamkne disk pri pokuse o obídenie systému.
  • Nevolte triviálny PIN ako 1234 alebo dátum narodenia.
  • Heslo k účtu stále existuje a musí byť silné. PIN chráni jedno zariadenie, ale váš účet Microsoft sa stále dá použiť aj inde, najmä na webe. Na jeho správu sa hodí správca hesiel s dvojfaktorovým overením.

Záver

PIN kód vyzerá na prvý pohľad slabšie než heslo, no na prihlásenie do zariadenia je v skutočnosti bezpečnejší. Neopúšťa počítač, chráni ho hardvérový čip a funguje ako dvojfaktorové overenie. Microsoft ho preto pretláča všade - nie aby vás otravoval, ale aby vás ochránil pred phishingom a krádežou hesla.

Chcete mať prihlásenie a zabezpečenie zariadení vo firme nastavené správne? Ozvite sa nám a pomôžeme vám.

Tento článok je súčasťou prehľadu Kybernetická bezpečnosť.