В системных требованиях Windows 11 появилось обязательное наличие в компьютере модуля безопасности TPM, но в Windows 10 этого требования нет. В то же время обязательного шифрования системного раздела настольных компьютерах по-прежнему не наблюдается. Для чего в Windows 11 используется TPM, как именно усилена безопасность и можно ли обойти эти меры в процессе криминалистического исследования компьютера? Об этом — в нашей новой статье.

Традиционный способ входа в учётную запись Windows — пароль. Пароли использовались и для локальных учётных записей, и для доменных, и для нового типа учётных записей, в которых для входа в систему используются данные Microsoft Account. Вплоть до выхода Windows 8 пароль оставался единственным способом войти в систему. В Windows 8 появился новый способ авторизации — система Windows Hello, которая позволяет использовать вместо пароля цифровой или буквенно-цифровой PIN-код. В Windows 10 и Windows 11 Microsoft усиленно рекомендует использовать PIN-коды вместо паролей в системах, для входа в которые используются учётные данные Microsoft Account, утверждая при этом в статье Почему ПИН-код лучше, чем пароль, что такой способ авторизации более безопасен:

ПИН-код привязан к устройству

Одно важное отличие между онлайн-паролем и ПИН-кодом Hello состоит в том, что ПИН-код привязан к определённому устройству, на котором он был настроен. ПИН-код не может использоваться без конкретного оборудования. Кто-то, кто крадёт ваш пароль в Интернете, может войти в вашу учётную запись из любого места, но если он украдёт ПИН-код, им также придётся украсть ваше физическое устройство!

ПИН-код поддерживается оборудованием

ПИН-код Hello поддерживается микросхемой доверенного платформенного модуля (TPM), представляющей собой надежный криптографический процессор для выполнения операций шифрования. Эта микросхема содержит несколько механизмов физической защиты для предотвращения взлома, и вредоносные программы не могут обойти функции безопасности TPM. Многие современные устройства имеют TPM. Windows 10, с другой стороны, имеет дефект, не связывающий локальные пароли с TPM. Именно по этой причине ПИН-коды считаются более безопасными, чем локальные пароли. (источник: Microsoft Documentation)

Из приведённых выше утверждений можно сделать вывод, что PIN-код всегда привязан к устройству и всегда защищён микросхемой доверенного платформенного модуля (TPM). К сожалению, это не всегда так: в отличие от Windows 11, требующей для установки наличие в системе модуля TPM, Windows 10 обходится без доверенного платформенного модуля — позволяя, однако, использовать PIN-код вместо пароля.

В качестве PIN-кода по умолчанию система предлагает выбрать последовательность длиной от 4 до 6 цифр; буквенно-цифровые PIN-коды поддерживаются, но их использование требует включения отдельной опции. На практике большинство пользователей выбирает цифровой PIN.

Насколько безопасен способ авторизации, использующий 4 или даже цифр в качестве пароля для входа в систему? Если в компьютере установлен (и активен!) модуль TPM, то вполне безопасен: аппаратный сопроцессор блокирует попытки перебора паролей после нескольких неудачных попыток. А если доверенного платформенного модуля (TPM) в системе нет? В этом случае 4-значный цифровой PIN-код можно подобрать за считанные секунды, а 6-значный — за несколько минут. Именно эту возможность мы добавили в Elcomsoft System Recovery 8.30.

Подбор PIN-кода при помощи Elcomsoft System Recovery

Подобрать PIN-код к учётной записи системы Windows 10 или Windows 11 можно исключительно в случаях, когда в системе не используется (не установлен или не активирован) доверенный платформенный модуль TPM.

Для начала работы нужно загрузить компьютер с USB-накопителя Elcomsoft System Recovery. Создать загрузочный накопитель Elcomsoft System Recovery можно, воспользовавшись инструкциями в статье Elcomsoft System Recovery: загрузочный накопитель для исследования компьютеров.

После загрузки Elcomsoft System Recovery выберите пункт SAM — Local User Database:

Далее выберите из списка диск с установленной системой:

Затем перейдите в пункт Change local user account:

После чего настройте сканирование следующим образом (выделен пункт Check weak PINs):

После чего программа автоматически обнаружит учётные записи, использующие цифровые PIN-коды длиной 4-6 знаков, и начнёт перебор. Спустя несколько минут на экране появятся найденные PIN-коды:

На процессоре Intel Core i7-5930K @3.5GHz скорость подбора PIN-кодов следующая:

• 4 цифры — 2 секунды
• 5 цифр — 18 секунд
• 6 цифр — 2 минуты

Максимальное суммарное время перебора для одной учётной записи (перебор PIN-кодов из 4, 5 и 6 цифр) — 2 минуты 20 секунд. В случае, если учётных записей с PIN-кодом больше одной, время пропорционально увеличивается, поскольку перебор запускается по отдельности для каждой учётной записи — в отличие от паролей NTLM, атаковать которые можно одновременно. Это связано с тем, что для хеширования PIN-кодов система использует уникальную соль, в то время как учётные записи NTLM «подсолены» одинаково. Как показала практика, даже удалённый локальный пользователь оставляет следы, которые могут быть использованы для подбора PIN-кода.

Если же PIN-код содержит символы помимо цифр или его длина превышает 6 знаков, то вы сможете экспортировать метаданные для дальнейшего подбора в Elcomsoft Distributed Password Recovery (требуется обновление). Скорость перебора PIN-кодов такова:

Заключение

Как мы показали, использование цифрового PIN-кода для защиты учётных записей Windows оправдано исключительно тогда, когда в системе установлен и корректно настроен модуль TPM. Если такого модуля в системе нет или он не используется (например, в UEFI BIOS не включена соответствующая настройка), то использование коротких цифровых PIN-кодов сводит безопасность системы практически к нулю.