Биометрия Windows Hello на предприятии
Windows Hello — это функция биометрической проверки подлинности, повышающая ее надежность и обеспечивающая защиту от возможного спуфинга благодаря сопоставлению отпечатков пальцев и распознаванию лиц.
В связи с предсказуемой востребованностью этой новой технологии предприятиями Майкрософт активно сотрудничала с производителями устройств с целью получения конкретных рекомендаций относительно дизайна и производительности, чтобы внедрение Windows Hello в организациях проходило максимально гладко.
В чем состоит принцип работы Windows Hello?
Windows Hello позволяет сотрудникам использовать в качестве альтернативного способа разблокировки устройства отпечатки пальцев или распознавание лиц. В случае использования Windows Hello проверка подлинности выполняется при вводе сотрудником его/ее уникального биометрического идентификатора во время получения доступа к учетным данным Microsoft Passport конкретного устройства.
Функция проверки Windows Hello используется совместно с Microsoft Passport для проверки подлинности и подтверждения доступа сотрудников к корпоративной сети. Эта функция не дает возможности перемещения между устройствами, не предполагает передачу данных на сервер и не может быть легко удалена с устройства. Если одно устройство используют несколько сотрудников, то каждый из них будет получать доступ с помощью своих собственных биометрических данных.
Почему сотрудникам следует разрешить использовать Windows Hello?
Windows Hello имеет множество преимуществ, в том числе следующие:
В сочетании с Microsoft Passport эта функция повышает уровень защиты учетных данных. Поскольку злоумышленнику необходимо получить одновременно устройство и биометрические данные или ПИН-код, сделать это незаметно для пользователя значительно сложнее.
Сотрудники получают возможность простой проверки подлинности (с альтернативным способом доступа с помощью ПИН-кода), которая всегда доступна для них. Проблема забытых паролей теперь не актуальна!
Поддержка Windows Hello встроена в операционную систему, поэтому добавлять дополнительные биометрические устройства и политики в рамках скоординированного развертывания или для отдельных сотрудников или групп можно с использованием групповой политики или поставщика служб конфигурации (CSP) управления мобильными устройствами (MDM).
Дополнительные сведения о доступных групповых политиках и поставщиках служб конфигурации MDM см. в разделе Внедрение Microsoft Passport в вашей организации.
Где хранятся данные Microsoft Hello?
Биометрические данные, используемые функцией Windows Hello, хранятся только на локальном устройстве. Они не перемещаются и никогда не передаются на внешние устройства или серверы. Такое разделение обеспечивает защиту от возможных атак за счет отсутствия единственной точки сбора, которая может быть скомпрометирована, в результате чего злоумышленник получит доступ к биометрическим данным. Кроме того, даже если злоумышленник получит доступ к биометрическим данным, их будет крайне сложно преобразовать в форму, распознаваемую биометрическим датчиком.
Установила ли корпорация Майкрософт какие-либо требования к устройствам для использования Windows Hello?
Мы тесно сотрудничали с производителями устройств, чтобы добиться высокого уровня производительности и защиты для каждого датчика и устройства на основе следующих требований:
Коэффициент ложного пропуска (FAR). Показатель, определяющий частоту предоставления решением для биометрической идентификации доступа лицам, не имеющим соответствующих полномочий. Как правило, это количество случаев на заданный объем выборки, например 1 к 100 000. Этот показатель также можно представить в виде процентного значения, например 0,001%. Он считается наиболее важным с точки зрения безопасности биометрического алгоритма.
Коэффициент ложного отказа в доступе (FRR). Показатель, определяющий частоту некорректных отказов в предоставлении решением для биометрической идентификации доступа лицам, имеющим соответствующие полномочия. Обычно выражен процентным значением; сумма коэффициентов ложного пропуска и ложного отказа в допуске равна 1. Может иметь или не иметь защиту от подделывания или функцию определения живучести.
Требования датчику для сканирования отпечатков пальцев
Чтобы разрешить сопоставление отпечатков пальцев, необходимо использовать устройства с датчиками для сканирования отпечатков и соответствующее программное обеспечение. Датчики для сканирования отпечатков пальцев или датчики, использующие уникальные отпечатки пальцев сотрудника как дополнительный способ входа в систему, могут быть сенсорными датчиками (с большой или малой областью сканирования) или датчиками с поддержкой движения пальцем. Для каждого типа датчика применим собственный набор подробных требований, которые должны быть реализованы производителями; при этом все датчики должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно).
Допустимый диапазон производительности для сенсорных датчиков с любым размером области сканирования
Коэффициент ложного пропуска (FAR): от < 0,001 до 0,002%
Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: <5%
Эффективный действующий FRR с защитой от подделывания или определением живучести: <10%
Допустимый диапазон производительности для датчиков с поддержкой движения пальцем
Коэффициент ложного пропуска (FAR): < 0,002%
Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: <5%
Эффективный действующий FRR с защитой от подделывания или определением живучести: <10%
Датчики распознавания лиц
Чтобы разрешить распознавание лиц, необходимо использовать устройства со специальными встроенными особенными инфракрасными датчиками (IR) и соответствующим программным обеспечением. Датчики распознавания лиц используют специальные камеры, работающие в инфракрасном свете, что позволяет при сканировании черт лица сотрудника выявлять разницу между фотографией и живым человеком. Такие датчики, как и датчики для сканирования отпечатков пальцев, должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно).
Коэффициент ложного пропуска (FAR): < 0,001%
Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: <5%
Эффективный действующий FRR с защитой от подделывания или определением живучести: <10%
Связанные разделы
Управление проверкой личности с помощью Microsoft Passport
Внедрение Microsoft Passport в вашей организации
Руководство по Microsoft Passport