Windows Hello允许用户使用 PIN 登录到其设备。 PIN 在哪方面不同于 (优于) 本地密码? 表面上看，PIN 看起来很像密码。 PIN 可以是一组数字，但企业策略可能会强制实施包含特殊字符和字母（大写和小写）的复杂 PIN。 类似于 t758A！ 的内容可能是帐户密码或复杂的 Hello PIN。 使 PIN 优于联机密码的不是它的结构 (长度、复杂性)，而是它的工作原理。 首先，我们需要区分两种类型的密码： 针对计算机的密码 存储验证本地密码，而针对服务器验证 联机密码 。 本文主要介绍 PIN 对联机密码的好处，以及为什么可以将其视为比本地密码更好的原因。

观看 Dana Huang 对于为什么 Windows Hello 企业版 PIN 比联机密码更安全的解释。

联机密码和 Hello PIN 之间的一个重要区别在于，PIN 会绑定到设置它的特定设备上。 如果没有该特定硬件，此 PIN 对任何人都无用。 获取你的在线密码的人可以从任何位置登录到你的帐户，但如果他们获得了你的 PIN，他们也必须访问你的设备。

PIN 不能用于除特定设备以外的任何位置。 如果你希望在多台设备上登录，则必须在每台设备上设置 Hello。

联机密码将传输到服务器。 密码可以在传输中截获或从服务器获取。 PIN 是设备的本地 PIN，从不在任何地方传输，也不会存储在服务器上。 创建 PIN 时，它与标识提供者建立受信任的关系，并且创建用于身份验证的非对称密钥对。 输入 PIN 时，将解锁身份验证密钥，该密钥用于对发送到身份验证服务器的请求进行签名。 尽管本地密码是设备的本地密码，但它们的安全性不如 PIN，如下一部分所述。

Hello PIN 由受信任的平台模块 (TPM) 芯片支持，该芯片是为执行加密操作而设计的安全加密处理器。 该芯片包含多个物理安全机制以使其防篡改，并且恶意软件无法篡改 TPM 的安全功能。 Windows 不会将本地密码链接到 TPM，因此 PIN 被认为比本地密码更安全。

用户密钥材料在设备的 TPM 中生成并可用。 TPM 可保护密钥材料免受想要捕获和重用密钥材料的攻击者的侵害。 由于 Hello 使用非对称密钥对，因此在用户访问的标识提供者或网站遭到入侵的情况下，用户凭据不会被盗。

TPM 可防范各种已知和潜在攻击，包括 PIN 暴力攻击。 过多的错误猜测将导致设备锁定。

Windows Hello 企业版 PIN 与密码一样遵守相同的 IT 管理策略组，例如复杂性、长度、到期时间和历史记录。 尽管我们通常认为 PIN 是简单的四位数代码，但管理员可以设置托管设备的策略以要求 PIN 的复杂性与密码类似。 你可以要求或阻止：特殊字符、大写字母、小写字母和数字。

若要泄露 TPM 保护的Windows Hello凭据，攻击者必须有权访问物理设备。 然后，攻击者必须找到欺骗用户生物识别或猜测 PIN 的方法。 在 TPM 防锤 保护锁定设备之前，必须执行所有这些操作。 可以通过启用 BitLocker 并设置策略来限制失败的登录，为没有 TPM 的笔记本电脑提供更多保护。

若要在不使用 TPM 的情况下启用 BitLocker，请执行以下步骤：

1. 打开本地组策略编辑器 (gpedit.msc) 并启用策略：计算机配置>管理模板 > Windows 组件 > BitLocker 驱动器加密>操作系统驱动器>需要在启动时进行其他身份验证
2. 在策略选项中，选择“允许没有兼容的 TPM > 的 BitLocker 确定”
3. 在设备上，打开控制面板>系统和安全 > BitLocker 驱动器加密
4. 选择要保护的操作系统驱动器

若要配置帐户锁定阈值，请执行以下步骤：

1. 打开本地组策略编辑器 (gpedit.msc) 并启用策略：计算机配置 > Windows 设置>安全设置>帐户策略>帐户锁定策略>帐户锁定阈值
2. 设置允许的无效登录尝试次数，然后选择“确定”

Windows Hello启用 Windows 的生物识别登录：指纹、虹膜或面部识别。 设置Windows Hello时，系统会要求你在生物识别设置后创建 PIN。 当由于受伤或传感器不可用或无法正常工作而无法使用首选生物识别时，可以使用 PIN 登录。

如果只配置了生物识别登录，并且出于任何原因无法使用该方法登录，则必须使用帐户和密码登录，这不会为你提供与 Hello 相同的保护级别。