В системных требованиях Windows 11 появилось обязательное наличие в компьютере модуля безопасности TPM, но в Windows 10 этого требования нет. В то же время обязательного шифрования системного раздела настольных компьютерах по-прежнему не наблюдается. Для чего в Windows 11 используется TPM, как именно усилена безопасность и можно ли обойти эти меры в процессе криминалистического исследования компьютера? Об этом — в нашей новой статье.
Традиционный способ входа в учётную запись Windows — пароль. Пароли использовались и для локальных учётных записей, и для доменных, и для нового типа учётных записей, в которых для входа в систему используются данные Microsoft Account. Вплоть до выхода Windows 8 пароль оставался единственным способом войти в систему. В Windows 8 появился новый способ авторизации — система Windows Hello, которая позволяет использовать вместо пароля цифровой или буквенно-цифровой PIN-код. В Windows 10 и Windows 11 Microsoft усиленно рекомендует использовать PIN-коды вместо паролей в системах, для входа в которые используются учётные данные Microsoft Account, утверждая при этом в статье Почему ПИН-код лучше, чем пароль, что такой способ авторизации более безопасен:
ПИН-код привязан к устройству
Одно важное отличие между онлайн-паролем и ПИН-кодом Hello состоит в том, что ПИН-код привязан к определённому устройству, на котором он был настроен. ПИН-код не может использоваться без конкретного оборудования. Кто-то, кто крадёт ваш пароль в Интернете, может войти в вашу учётную запись из любого места, но если он украдёт ПИН-код, им также придётся украсть ваше физическое устройство!
ПИН-код поддерживается оборудованием
ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. Многие современные устройства имеют TPM. Windows 10, с другой стороны, имеет дефект, не связывающий локальные пароли с TPM. Именно по этой причине ПИН-коды считаются более безопасными, чем локальные пароли. (источник: Microsoft Documentation)
Из приведённых выше утверждений можно сделать вывод, что PIN-код всегда привязан к устройству и всегда защищён микросхемой доверенного платформенного модуля (TPM). К сожалению, это не всегда так: в отличие от Windows 11, требующей для установки наличие в системе модуля TPM, Windows 10 обходится без доверенного платформенного модуля — позволяя, однако, использовать PIN-код вместо пароля.
В качестве PIN-кода по умолчанию система предлагает выбрать последовательность длиной от 4 до 6 цифр; буквенно-цифровые PIN-коды поддерживаются, но их использование требует включения отдельной опции. На практике большинство пользователей выбирает цифровой PIN.
Насколько безопасен способ авторизации, использующий 4 или даже цифр в качестве пароля для входа в систему? Если в компьютере установлен (и активен!) модуль TPM, то вполне безопасен: аппаратный сопроцессор блокирует попытки перебора паролей после нескольких неудачных попыток. А если доверенного платформенного модуля (TPM) в системе нет? В этом случае 4-значный цифровой PIN-код можно подобрать за считанные секунды, а 6-значный — за несколько минут. Именно эту возможность мы добавили в Elcomsoft System Recovery 8.30.
Подобрать PIN-код к учётной записи системы Windows 10 или Windows 11 можно исключительно в случаях, когда в системе не используется (не установлен или не активирован) доверенный платформенный модуль TPM.
Для начала работы нужно загрузить компьютер с USB-накопителя Elcomsoft System Recovery. Создать загрузочный накопитель Elcomsoft System Recovery можно, воспользовавшись инструкциями в статье Elcomsoft System Recovery: загрузочный накопитель для исследования компьютеров.
После загрузки Elcomsoft System Recovery выберите пункт SAM — Local User Database:
Далее выберите из списка диск с установленной системой:
Затем перейдите в пункт Change local user account:
После чего настройте сканирование следующим образом (выделен пункт Check weak PINs):
После чего программа автоматически обнаружит учётные записи, использующие цифровые PIN-коды длиной 4-6 знаков, и начнёт перебор. Спустя несколько минут на экране появятся найденные PIN-коды:
На процессоре Intel Core i7-5930K @3.5GHz скорость подбора PIN-кодов следующая:
Максимальное суммарное время перебора для одной учётной записи (перебор PIN-кодов из 4, 5 и 6 цифр) — 2 минуты 20 секунд. В случае, если учётных записей с PIN-кодом больше одной, время пропорционально увеличивается, поскольку перебор запускается по отдельности для каждой учётной записи — в отличие от паролей NTLM, атаковать которые можно одновременно. Это связано с тем, что для хеширования PIN-кодов система использует уникальную соль, в то время как учётные записи NTLM «подсолены» одинаково. Как показала практика, даже удалённый локальный пользователь оставляет следы, которые могут быть использованы для подбора PIN-кода.
Если же PIN-код содержит символы помимо цифр или его длина превышает 6 знаков, то вы сможете экспортировать метаданные для дальнейшего подбора в Elcomsoft Distributed Password Recovery (требуется обновление). Скорость перебора PIN-кодов такова:
Как мы показали, использование цифрового PIN-кода для защиты учётных записей Windows оправдано исключительно тогда, когда в системе установлен и корректно настроен модуль TPM. Если такого модуля в системе нет или он не используется (например, в UEFI BIOS не включена соответствующая настройка), то использование коротких цифровых PIN-кодов сводит безопасность системы практически к нулю.
Производительное решение для восстановление паролей к десяткам форматов файлов, документов, ключей и сертификатов. Аппаратное ускорение с использованием потребительских видеокарт и лёгкое масштабирование до 10,000 рабочих станций делают решение Элкомсофт оптимальным для исследовательских лабораторий и государственных агентств.
Официальная страница Elcomsoft Distributed Password Recovery »
Elcomsoft System Recovery поможет восстановить доступ к учётным записям к локальным учётным записям Windows и универсальной учётной записи Microsoft Account и создать образ диска для последующего анализа. Поддерживается как моментальный сброс, так и восстановление оригинального пароля. С помощью Elcomsoft System Recovery можно предоставить административные привилегии любому пользователю. Продукт поставляется вместе с лицензионной загрузочной средой Windows PE.