Windows Hello – Biometrie im Unternehmen

  • Artikel

Windows Hello ist das biometrische Authentifizierungsfeature, das die Authentifizierung verstärkt und durch Fingerabdrucküberprüfung und Gesichtserkennung zum Schutz vor potenziellem Spoofing beiträgt.

Da wir wissen, dass Ihre Mitarbeiter diese neue Technologie in Ihrem Unternehmen nutzen möchten, haben wir zusammen mit den Geräteherstellern aktiv an der Erstellung strenger Design- und Leistungsempfehlungen gearbeitet, um sicherzustellen, dass Sie die Windows Hello-Biometrie in Ihrem Unternehmen mit Zuversicht einführen können.

Wie funktioniert Windows Hello?

Mit Windows Hello können Ihre Mitarbeiter Fingerabdrücke oder Gesichtserkennung als alternative Verfahren für das Entsperren von Geräten verwenden. Mit Windows Hello erfolgt die Authentifizierung, wenn die Mitarbeiter beim Zugriff auf die gerätespezifischen Microsoft Passport-Anmeldeinformationen ihre eindeutigen biometrischen Erkennungsmerkmale bereitstellen.

Der Windows Hello-Authentifikator authentifiziert gemeinsam mit Microsoft Passport Mitarbeiter und ermöglicht ihnen den Zugriff auf das Unternehmensnetzwerk. Die Authentifizierung führt kein Roaming zwischen Geräten durch, wird nicht für einen Server freigegeben und kann nicht leicht aus einem Gerät extrahiert werden. Wenn mehrere Mitarbeiter ein Gerät gemeinsam verwenden, verwendet jeder Mitarbeiter seine eigenen biometrischen Daten auf dem Gerät.

Warum sollte ich meine Mitarbeiter Windows Hello verwenden lassen?

Windows Hello bietet zahlreiche Vorteile, darunter:

  • In Verbindung mit Microsoft Passport trägt es zum Schutz vor dem Diebstahl von Anmeldeinformationen bei. Da ein Angreifer sowohl das Gerät als auch die biometrischen Informationen oder die PIN abrufen muss, ist ein Zugriff ohne Wissen des Mitarbeiters sehr viel schwieriger.

  • Mitarbeiter erhalten eine einfache Methode zur Authentifizierung (gesichert durch eine PIN), die sie stets bei sich tragen und nicht verlieren können. Keine vergessenen Kennwörter mehr!

  • Die Unterstützung für Windows Hello ist in das Betriebssystem integriert, sodass Sie im Rahmen einer koordinierten Implementierung oder für einzelne Mitarbeiter oder Gruppen mittels Gruppenrichtlinien oder Richtlinien für Konfigurationsdienstanbieter (Configurations Service Provider, CSP) für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) zusätzliche biometrische Geräte und Richtlinien hinzufügen können.

    Weitere Informationen zu den verfügbaren Gruppenrichtlinien und MDM CSPs finden Sie unter Implementieren von Microsoft Passport in Ihrer Organisation.

Wo werden Microsoft Hello-Daten gespeichert?

Die zur Unterstützung von Windows Hello verwendeten biometrischen Daten werden nur auf dem lokalen Gerät gespeichert. Sie werden nicht verteilt und niemals an externe Geräte oder Server gesendet. Durch diese Trennung werden potenzielle Angreifer gestoppt, da es keinen einzelnen Sammlungspunkt gibt, den ein Angreifer angreifen könnte, um biometrische Daten zu stehlen. Darüber hinaus können die biometrischen Daten nicht einfach in ein Format konvertiert werden, die vom biometrischen Sensor erkannt würden, auch wenn ein Angreifer tatsächlich an die biometrischen Daten gelangen würde.

Hat Microsoft für Windows Hello Geräteanforderungen festgelegt?

Wir haben zusammen mit den Geräteherstellern daran gearbeitet, dass jeder Sensor und jedes Gerät einen hohen Grad an Leistung und Schutz bietet, basierend auf den folgenden Anforderungen:

  • Falschakzeptanzrate (FAR) – stellt die Rate dar, mit der eine biometrische Identifizierungslösung eine nichtautorisierte Person erkennt. Sie wird normalerweise als das Verhältnis der Anzahl der Instanzen in einer bestimmten Bevölkerungszahl dargestellt, z. B. 1 in 100.000. Sie kann auch als Prozentsatz des Vorkommens dargestellt werden, z. B. 0,001 %. Diese Messung wird häufig als die wichtigste in Bezug auf die Sicherheit des biometrischen Algorithmus betrachtet.

  • Falschrückweisungsrate (FRR) – stellt die Rate dar, mit der eine biometrische Identifizierungslösung eine autorisierte Person korrekt erkennt. Sie wird in der Regel als Prozentsatz dargestellt. Die Summe der Richtigakzeptierungsrate und der Falschrückweisungsrate ist 1. Sie kann mit oder ohne Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit ermittelt werden.

Anforderungen an Fingerabdrucksensoren

Um Fingerabdrucküberprüfung zu ermöglichen, müssen Sie über Geräte mit Fingerabdrucksensoren und die entsprechende Software verfügen. Fingerabdrucksensoren bzw. Sensoren, die den eindeutigen Fingerabdruck eines Mitarbeiters als alternative Anmeldungsoption verwenden, können Touchsensoren (mit großen oder kleinen Touchbereichen) oder Wischsensoren sein. Jeder Sensortyp verfügt über einen eigenen Satz von detaillierte Anforderungen, die vom Hersteller implementiert werden müssen. Alle Sensoren müssen jedoch über Funktionen zum Schutz vor Spoofing (erforderlich) und zu deren Konfiguration (optional) verfügen.

Akzeptable Leistungsbereiche für kleine und große Touchsensoren

  • Falschakzeptanzrate (FAR): < 0,001 % bis 0,002 %

  • Falschrückweisungsrate (FRR) ohne Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 5 %

  • Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 10 %

Akzeptabler Leistungsbereich für Wischsensoren

  • Falschakzeptanzrate (FAR): < 0,002 %

  • Falschrückweisungsrate (FRR) ohne Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 5 %

  • Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 10 %

Gesichtserkennungssensoren

Um Gesichtserkennung zu ermöglichen, müssen Sie über Geräte mit integrierten speziellen Infrarot (IR)-Sensoren und die entsprechende Software verfügen. Gesichtserkennungssensoren verwenden spezielle Kameras, die mit IR-Licht arbeiten und den Unterschied zwischen einem Foto und einer lebenden Person erkennen, während sie die Gesichtszüge eines Mitarbeiters scannen. Diese Sensoren müssen wie die Fingerabdrucksensoren über Funktionen zum Schutz vor Spoofing (erforderlich) und für deren Konfiguration (optional) verfügen.

  • Falschakzeptanzrate (FAR): < 0,001 %

  • Falschrückweisungsrate (FRR) ohne Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 5 %

  • Effektive, realistische FRR mit Funktionen zum Schutz vor Spoofing oder zur Erkennung von Lebendigkeit: < 10 %

Verwandte Themen

Verwalten der Identitätsüberprüfung mit Microsoft Passport

Implementieren von Microsoft Passport in Ihrer Organisation

Microsoft Passport-Anleitung

Vorbereiten der Benutzer auf die Verwendung von Microsoft Passport

PassportforWork-CSP