Então, eu tenho uma situação em que eu inseriria um cartão inteligente em um leitor de cartão inteligente PCSC para fazer login no Windows. O Smart Card contém o certificado e não é criptografado por PIN. No entanto, o Windows 10 exige que você pressione enter depois de inserir seu cartão inteligente, o que tento evitar, pois os cartões inteligentes são uma maneira mais conveniente de fazer login em uma sessão do Windows sem precisar lembrar uma senha. Estou bem ciente da implicação filosófica e de segurança de não usar um PIN/autenticação de dois fatores, então espero uma resposta clara. Eu estava olhando para o cache de PIN, mas essa não é a resposta. A resposta está em algum lugar nas configurações do Registro ou no Editor de Diretiva de Grupo.
Descobri através do Smart Card Focus e outras fontes que não é possível porque o PIN e o certificado residem no cartão real como parte do PKCS # 11 e da infraestrutura de cartão inteligente do Windows. A solicitação do PIN é necessária, pois o envia para o cartão e um máximo de 3 tentativas de entrada de PIN com falha é suficiente para bloquear o cartão por segurança.
"O Smart Card contém o certificado e não é criptografado por PIN." não está correto. Como George aponta, o PIN é usado para desbloquear o acesso a chaves privadas e objetos selecionados no cartão inteligente, e o envio de PIN errado bloqueará o cartão após algumas tentativas com falha, conforme definido no cartão inteligente. Os certificados são normalmente legíveis sem PIN pela maioria (se não todos) dos cartões inteligentes.
Um cartão inteligente PIV (com o qual estou muito familiarizado) normalmente tem 4 pares de certificados/chaves privadas. Um para login e autenticação na web, um para assinaturas e outro para criptografia. Esses três exigem o PIN para acesso ao uso da chave privada. O 4º é para autenticação de cartão que não requer pin, e normalmente é usado para acesso físico como fechadura de porta, apenas mostra a posse do cartão. Alguns outros cartões também podem ser configurados para ter uma chave privada que não requer um PIN.
Não está claro se o Windows está configurado para permitir o uso de uma chave privada sem um PIN. Eu não esperaria que fosse. E eu nunca esperaria que funcionasse remotamente.
Mas se você tiver controle sobre o cartão e puder alterar o PIN e talvez seu comprimento mínimo, poderá definir um PIN de 1234 ou seu aniversário.
O cartão inteligente pode ser lento e, se você for definir um PIN, considere.
Pesquisando por: Windows 10 "smart card" logon sem um PIN mostra: A partir de 12/04/2020: https://docs.microsoft.com/en-us/troubleshoot/windows-client/user-profiles-and-logon/ Registry-keys-smart-card-pin-caching-options-not-available
A partir de 14/03/2017 mostre como definir o PIN no registro, mas pode não funcionar mais: https://www.youtube.com/watch?v=tfwKROZYViI