【Windows】ログインに関しての整理

いろいろ調べていてやっと自分なりの整理がついた。

  • ドライブの暗号化を行っていない場合、utilman.exeの書き換えで簡単にAdministratorアカウントを追加しログイン出来る。
  • ローカルアカウントはディスクのSAMと言うところに格納され、SAMは取り出し解析することが出来る。
  • PINはTPMというチップに保管され総当たり以外の手法では不正な読み出しは不可。
  • PINを有効にしてもパスワードでのログイン、Windows Helloを有効にしてもパスワード、PINでのログインは可能。

以上の事から、

  • 盗難に関してはBitLocker等でドライブの暗号化を行わなければパスワードは無意味
  • ローカルアカウントよりMSアカウントの方がディスクに情報がなく解析されづらい。
  • PINに対する総当たり攻撃を回避するため十分な強度(7桁?)が必要。
  • パスワード、PINの複雑化、盗み見防止にWindows Helloは有効。

ということで通常はBitLocker等による暗号化、MSアカウントでのログインにしてPIN、Windows Helloを有効にすれば十分だろう。なおWindows Helloに関してはPCがカメラや指紋認証の装置に対応している必要があるがYubiKeyが対応したらしい。YubiKeyは生体認証ではないがログインにおけるWindows Helloの意味(※)を考えれば有効である。後で試してみよう。
※生体認証でなければログイン出来なくなるわけではない。ログインの操作を簡単にするこによりパスワード、PINの複雑化、盗み見を防止する。

2016/12/31追記
確かにパスワード、PINが漏洩しなければログインはされないが漏洩すればログインされる。PINやWindows Helloは端末のログインに対しては多要素認証ではないからな。そうなるとやはりYubiKeyによる多要素認証の実施の方が強いかも。

Pocket

【Windows】ログインに関しての整理」への1件のフィードバック

  1. ピンバック: 【Windows】盗難に対してパスワードって無意味? | BMW and moreのデジタル玉国

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

fifteen − six =