Offline-разблокировка осуществляется оператором системы по принципу аутентификации вида запрос-ответ (англ. challenge-response authentication mechanism).
Разблокировка устройства (смарт-карты, USB-токена) на экране входа в Windows не поддерживается при удаленном подключении через Remote Desktop.
При исчерпании заданного числа попыток ввода PIN-кода, пользователь получает сообщение о том, что его устройство заблокировано. Вместе с сообщением пользователь получает уникальный 16-ти символьный код-запрос. Пользователю необходимо связаться с оператором системы (например, по телефону), подтвердить свою личность, ответив на секретные вопросы и сообщить полученный код.
Ниже на рисунке приведен пример экрана offline-разблокировки устройства в окне входа операционной системы Windows 11. Механизм разблокировки устройства в операционных системах Windows других версий выглядит похожим образом.
Оператор системы открывает карточку пользователя и в перечне действий над устройством выбирает пункт Разблокировать. Прежде, чем выполнить генерацию ответного кода для разблокировки устройства, администратор системы задает секретный вопрос (или несколько вопросов, в зависимости от настроек политики использования устройств) и вводит полученный от пользователя ответ в соответствующую форму.
Опция Разрешить офлайновую разблокировку может быть отключена в разделе Поведение политики использования устройств. В этом случае кнопка Разблокировать в карточке устройства будет недоступна.
Необходимость проверки ответов на секретные вопросы при offline-разблокировке определяется опцией Проверять ответы на секретные вопросы в разделе Поведение политики использования устройств.
Если ответы на все вопросы даны верно, то оператор вводит код, который ему сообщает пользователь и система генерирует ответный код, который оператор сообщает пользователю.
Пользователь вводит код, полученный от оператора, и задает новый PIN-код устройства. В случае успешной разблокировки отображается соответствующее сообщение.
