Біометрія Windows Hello для підприємства (Windows), Microsoft Docs
Windows Hello – це функція біометричної автентичності, що підвищує її надійність і забезпечує захист від можливого спуфінгу завдяки зіставленню відбитків пальців і розпізнаванню облич.
У зв'язку з передбачуваною затребуваністю цієї нової технології підприємствами Microsoft активно співпрацювала з виробниками пристроїв з метою отримання конкретних рекомендацій щодо дизайну та продуктивності, щоб впровадження Windows Hello в організаціях проходило максимально гладко.
У чому полягає принцип роботи Windows Hello?
Windows Hello дозволяє співробітникам використовувати як альтернативний спосіб розблокування пристрою відбитки пальців або розпізнавання облич. У разі використання Windows Hello автентифікація виконується при введенні співробітником його/її унікального біометричного ідентифікатора під час отримання доступу до облікових даних Microsoft Passport конкретного пристрою.
Функція перевірки Windows Hello використовується спільно з Microsoft Passport для автентифікації та підтвердження доступу співробітників до корпоративної мережі. Ця функція не дає можливості переміщення між пристроями, не передбачає передачі даних на сервер і не може бути легко видалена з пристрою. Якщо один пристрій використовують кілька співробітників, то кожен з них отримуватиме доступ за допомогою власних біометричних даних.
Чому слід дозволити співробітникам використовувати Windows Hello?
Windows Hello має безліч переваг, у тому числі такі:
У поєднанні з Microsoft Passport ця функція підвищує рівень захисту даних. Оскільки зловмиснику необхідно отримати одночасно пристрій та біометричні дані або ПІН-код, зробити це непомітно для користувача значно складніше.
Співробітники отримують можливість простої автентифікації (з альтернативним способом доступу за допомогою ПІН-коду), яка завжди доступна для них. Проблема забутих паролів наразі не актуальна!
Підтримка Windows Hello вбудована в операційну систему, тому додавати додаткові біометричні пристрої та політики в рамках скоординованого розгортання або для окремих співробітників або груп можна за допомогою групової політики або постачальника конфігураційних служб (CSP) управління мобільними пристроями (MDM).
Щоб отримати додаткові відомості про доступні групові політики та постачальників служб конфігурації MDM, див. розділ Впровадження Microsoft Passport у вашій організації.
Де зберігаються дані Microsoft Hello?
Біометричні дані, що використовуються функцією Windows Hello, зберігаються лише на локальному пристрої. Вони не переміщуються та ніколи не передаються на зовнішні пристрої або сервери. Такий поділ забезпечує захист від можливих атак за рахунок відсутності єдиної точки збору, яка може бути скомпрометована, внаслідок чого зловмисник отримає доступ до біометричних даних. Крім того, навіть якщо зловмисник отримає доступ до біометричних даних, їх вкрай складно перетворити на форму, що розпізнається біометричним датчиком.
Чи встановила корпорація Майкрософт будь-які вимоги до пристроїв для використання Windows Hello?
Ми тісно співпрацювали з виробниками пристроїв, щоб досягти високого рівня продуктивності та захисту для кожного датчика та пристрою на основі таких вимог:
Коефіцієнт помилкового пропуску (FAR). Показник, що визначає частоту надання рішенням длябіометричної ідентифікації доступу особам, які не мають відповідних повноважень. Як правило, це кількість випадків на заданий обсяг вибірки, наприклад, 1 до 100 000. Цей показник також можна представити у вигляді відсоткового значення, наприклад, 0,001%. Він вважається найважливішим з погляду безпеки біометричного алгоритму.
Коефіцієнт помилкової відмови у доступі (FRR). Показник, що визначає частоту некоректних відмов у наданні рішенням для біометричної ідентифікації доступу особам, які мають відповідні повноваження. Зазвичай виражений відсотковим значенням; сума коефіцієнтів помилкового пропуску та помилкової відмови у допуску дорівнює 1. Може мати або не мати захисту від підроблення або функцію визначення живучості.
Вимоги датчику для сканування відбитків пальців
Щоб дозволити зіставлення відбитків пальців, необхідно використовувати пристрої з датчиками для сканування відбитків та відповідне програмне забезпечення. Датчики для сканування відбитків пальців або датчики, які використовують унікальні відбитки пальців співробітника як додатковий спосіб входу в систему, можуть бути сенсорними датчиками (з великою або малою областю сканування) або датчиками з підтримкою руху пальцем. До кожного типу датчика застосуємо власний набір докладних вимог, які мають бути реалізовані виробниками; при цьому всі датчики повинні мати властивості захисту від підроблення (обов'язкова вимога) і надавати можливість налаштування (додатково).
Допустимий діапазон продуктивності для сенсорних датчиків з будь-яким розміром області сканування