因此,我遇到一种情况,我需要将智能卡插入 PCSC 智能卡读卡器以登录 Windows。智能卡包含证书,并且未使用 PIN 加密。但是,Windows 10 要求您在插入智能卡后按 Enter 键,而这正是我尽量避免的情况,因为智能卡是一种更方便的登录 Windows 会话的方式,无需记住密码。我很清楚不使用 PIN/双因素身份验证的安全性和哲学含义,所以我期待一个明确的答案。我正在研究 PIN 缓存,但这不是答案。答案位于注册表设置或组策略编辑器中的某个地方。
答案1
我发现智能卡焦点以及其他来源,这是不可能的,因为 PIN 和证书作为 PKCS#11 和 Windows 智能卡基础设施的一部分驻留在实际卡中。PIN 提示是必需的,因为它会将其发送到卡上,并且最多 3 次 PIN 输入失败尝试足以锁定卡以确保安全。
答案2
“智能卡包含证书,但未使用 PIN 加密。”这句话并不正确。正如 George 指出的那样,PIN 用于解锁对智能卡上选定私钥和对象的访问,发送错误的 PIN 会在智能卡上设置几次失败尝试后锁定智能卡。大多数(如果不是全部)智能卡通常无需 PIN 即可读取证书。
PIV 智能卡(我非常熟悉)通常有 4 个证书/私钥对。一个用于登录和 Web 身份验证,一个用于签名,一个用于加密。这三个都需要 PIN 才能访问以使用私钥。第四个用于卡身份验证,不需要 PIN,通常用于门锁等物理访问,它仅显示对卡的所有权。其他一些卡也可以设置为拥有不需要 PIN 的私钥。
目前尚不清楚 Windows 是否设置为允许使用无需 PIN 的私钥。我并不指望它会这样做。而且我从未指望它能够远程工作。
但是如果您可以控制该卡并可以更改 PIN 码(甚至是其最小长度),那么您可以将 PIN 码设置为 1234 或您的生日。
智能卡可能很慢,如果您无论如何都要设置 PIN,请考虑。
搜索:Windows 10“智能卡”无需 PIN 码登录显示:从 2020 年 12 月 4 日起: https://docs.microsoft.com/en-us/troubleshoot/windows-client/user-profiles-and-logon/registry-keys-smart-card-pin-caching-options-not-available
从 2017 年 3 月 14 日起显示如何在注册表中设置 PIN,但可能不再起作用: https://www.youtube.com/watch?v=tfwKROZYViI