是否有配备硬件安全模块以防止密码强制的笔记本电脑，例如在iPhone的安全飞地中

Question

iPhones和谷歌的Pixel 2手机都具有安全硬件芯片的特性，这些芯片通过让专用硬件安全模块来处理密码，从而从根本上防止了密码的野蛮强制。据我所知，这也可以防止设备被破坏，即使手机是简单地锁定，而不是关闭，因为内存加密以及所有的加密是由专用芯片处理。

有这样安全的笔记本电脑吗？我确实意识到，苹果设备和谷歌设备都在运行由生产这款设备的公司生产的操作系统。我看到，在笔记本电脑上实现这些功能时，这会带来怎样的问题?笔记本电脑的设计目的是采用不同的操作系统。

我总是利用计算机上的全磁盘加密，但我知道，现在使用各种软件绕过计算机的锁定屏幕是相当容易的。通常，确保磁盘加密完成其工作的唯一方法是确保您的计算机在被完全破坏时关闭。然而，上述手机硬件安全功能似乎解决了这个问题与专用芯片。

Answer 1

是的，现在大多数笔记本电脑CPU都支持用于安全飞地的内置CPU模式，例如Intel和AMD TrustZone。它们通过防止在常规模式下运行的代码检查或控制在可信执行模式下运行的代码，有效地实现了安全enclave。在英特尔的情况下，安全飞地也运行x86代码，而AMD嵌入了一个仅运行安全飞地程序的ARM TrustZone协处理器。

Answer 2

有几个选择和方法，你可以这样做。取决于你想要设置的保护级别。

您说的是硬件，但您考虑过云方法吗？Google已经变得更加安全，添加AODocs正在成为企业的选择之一。您也可以考虑Google身份验证应用程序，并通过双重验证锁定大部分元素。

如果你说法语或使用谷歌翻译，你也可以查看这些提示获得更多的标准硬件方法。但简单地说，它可以归结为以下几个要素：

1. 帐户锁定阈值，它在锁定发生之前设置无效登录尝试的最大次数。
2. 帐户锁定持续时间，它以分钟为单位设置锁定仍然有效的时间。如果将此值设置为零，则锁将一直保持到管理员重置为止。
3. 帐户锁定窗口。此安全策略负责将失败登录次数重置为零之前必须经过的总时间长度。

最后，在Windows 10中，本文来自微软关于为什么PIN比密码更好的文章可能是有用的阅读。

希望这是有用的。

Answer 3

Windows 10中的Windows Hello允许用户在笔记本电脑内置可信平台模块时使用PIN而不是密码。现在几乎所有的现代硬件都有TPM芯片。TPM芯片本身进行PIN验证，并内置强制保护( TPM术语中的抗锤击)。更多信息在这里：

https://docs.microsoft.com/en-us/windows/access-protection/hello-for-business/hello-why-pin-is-better-than-password