В чём проблема учётных записей Microsoft и неужели PIN-коды безопаснее паролей?

Компания Microsoft, начиная с Windows 8, стала активно продвигать собственную систему идентификации пользователей через Microsoft Account, вместо использования локальных логина и пароля. Получилось этакое переосмысление AppleID только для "винды". Однако, не всё пошло по задуманному плану и с выходом Windows 11 в Microsoft решили отказаться от применения паролей при входе в систему в пользу PIN-кодов.

Чем же было вызвано такое решение и неужели обычный шестизначный PIN-код оказался надежнее сложных паролей?

Для начала, давайте посмотрим для чего вообще задумывался Microsoft Account. В мелкософт наконец поняли, что у пользователя может быть не одно устройство и гораздо удобнее, просто авторизовавшись в системе, сразу получить доступ к своему «облачному» хранилищу OneDrive, Skype и другим сервисам.

При установке Windows 10 настойчиво предлагает использовать именно учётную запись Microsoft Account и сразу войти в систему, если она у вас уже есть, либо сделать новую. Создание локальной учётной записи скрыли от глаз пользователя, хотя такая возможность и оставлена в виде малозаметной ссылки, о чём я уже рассказывал ранее (переходите по ссылке).

Однако с учётными записями Microsoft тоже оказалось не всё так гладко. Дело в том, что для работы с учетной записью Microsoft Account требуется соединение с интернетом, как минимум при первом входе в систему. После чего хеш пароля сохраняется на компьютере, что позволяет авторизоваться, когда нет подключения к глобальной сети. Вот тут то и вскрылась проблема безопасности, из-за которой в новой версии Windows 11 майкрософт решила перейти на pin-коды.

Много ли пользователей используют функцию шифрования BitLocker своего системного диска, особенно на стационарном компьютере? Соотвественно злоумышленник может спокойно завладеть файлом с хешем пароля от учётной записи и довольно быстро подобрать даже сложный пароль (например с помощью Elcomsoft System Recovery).

А зная пароль от Microsoft Account, можно получить доступ ко всем данным на других ваших устройствах, даже если они используют шифрование, так как ключи BitLocker Device Protection для доступа к системному разделу, хранятся в облаке Microsoft OneDrive и доступны по паролю от вашей учётной записи.

С выходом новой версии Windows 11, Microsoft добавила новый тип учетных записей, которым не нужен пароль от онлайновой учетной записи. Вместо пароля теперь используются PIN-коды (TPM) или биометрические данные подсистемы Windows Hello.

Наверное вы уже догадались где они теперь хранятся и пришло понимание откуда появились возмутившие многих новые системный требования для установки Windows 11. Да, это тот самый пресловутый модуль безопасности TPM 2.0, которого попросту нет на старых компьютерах.

Если TPM в системе отсутствует или не включен в UEFI BIOS, то Windows 11 просто откажется от установки. Равно как и использование безпарольного по PIN-кодам теряет всякий смысл при отсутствии поддержки TPM.