V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Osk
V2EX  ›  分享发现

Windows 10 冷门技巧分享与讨论: 多因素解锁 (比如人脸识别 + PIN 双因素验证)

  •  
  •   Osk · 2019-11-11 00:39:08 +08:00 · 2609 次点击
    这是一个创建于 1846 天前的主题,其中的信息可能已经有所发展或是发生改变。

    先上干货再扯淡, 实现方式

    打开组策略编辑器, 定位到 Computer Configuration\Administrative Templates\Windows Components\Windows Hello for Business

    修改 Configure device unlock factors 策略, 你可以在这里配置你需要哪两种解锁设备的方式, 比如我在 Surafce 上配置的策略是:

    第一个解锁因素: 和谐测试 (人脸)

    第二个解锁因素: 和谐测试 (PIN)

    对应的 GUID(部分):

    PIN   和谐测试
    指纹  和谐测试
    人脸	和谐测试
    Trusted Signal (手机靠近, 网络位置)	和谐测试
    

    我并不使用 Trusted Signal 作为验证方式, 所以没有测试用起来是否流畅. 不过估计 Trusted Signal 可以给那些没有指纹 /人脸的设备做额外验证, 比如 手机蓝牙信号 + PIN 双因素, 这样只有两个因素都具备了才能解锁计算机.

    文档就在帮助信息里面.


    实际使用效果

    Surface Go, Facial Recognition + PIN:

    • 登陆界面先扫脸成功, 会提示组织需要额外的验证步骤以登录计算机, 输入 PIN 即可解锁.

    • 如果手动选择 PIN 登陆, 则 PIN 验证完后会有一个转圈动画, 然后自动启动人脸识别, 识别成功就登陆了.

    • 如果输入密码, 则不需要任何的额外验证. 这符合需求, 万一 PIN 忘记了或者人脸识别抽风了(我只遇到过一次)也能登录.


    扯淡时间

    ps: 我也是最近才发现这个功能的, 我的计算机不受 AD 域的管理, 纯个人计算机, 所以不清楚这样是否有额外的隐患, 比如特定操作让两个因素的验证变成一个因素也能登录这种... 如果有误, 感谢指正.

    pps: 传统的仅人脸 /指纹的方式让我很不放心, 人脸 /指纹信息基本无法改变, 又容易泄露, 纯 PIN 登陆在公共场合也不方便. 而生物因素验证 + PIN 验证在一定程度上能作为互补, 增大破解难度, 我个人觉得还是有用的, 不知道大家怎样看待这种双因素验证?

    ppps: 作为微软的粉丝我真的好累, 一边骂微软 Bug 万年不修, 一边又真香...

    pppps: 如果计算机没有生物识别设备(指纹 /人脸 /虹膜), 感兴趣的也可以试试 PIN + Trusted Sinal 这种双因素验证方式

    4 条回复    2020-01-15 14:40:54 +08:00
    Osk
        1
    Osk  
    OP
       2019-11-11 00:42:51 +08:00
    不好意思, V 站的和谐策略太粗暴, GUID 我实在发布出来, 有需要的各位自己参照 MS 的文档将 `和谐测试` 替换成正确的 GUID

    hxxps://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/feature-multifactor-unlock


    我也不想评论 V2 的过滤策略和为何会这样的深层次原因了, 无语
    hljjhb
        2
    hljjhb  
       2019-11-11 00:52:12 +08:00 via Android
    配合 4 位 pin 感觉体验应该不错
    shutongxinq
        3
    shutongxinq  
       2019-11-11 01:08:34 +08:00
    Linux 似乎也可以,不过就各种 2 factor 的支持,微软厉害多了。微软牛逼!
    Sharuru
        4
    Sharuru  
       2020-01-15 14:40:54 +08:00
    AD 域机器路过,试着配置了 PIN + 指纹的双因素认证,感觉舒服多了……原来的 7 位 PIN 总觉得不安全
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2776 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 05:40 · PVG 13:40 · LAX 21:40 · JFK 00:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.