Биометрическая служба windows что это: Биометрия Windows Hello на предприятии — Windows Security
Содержание
Биометрия Windows Hello на предприятии — Windows Security
Twitter
LinkedIn
Facebook
Адрес электронной почты
Windows Hello — это функция биометрической проверки подлинности, повышающая ее надежность и обеспечивающая защиту от возможного спуфинга благодаря сопоставлению отпечатков пальцев и распознаванию лиц.
Примечание.
В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности.
Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Для тех клиентов, которым еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике.
Так как мы понимаем, что ваши сотрудники хотят использовать эту новую технологию на вашем предприятии, мы активно сотрудничаем с производителями устройств, чтобы создать строгие рекомендации по проектированию и производительности, которые помогут вам более уверенно внедрять Windows Hello биометрии в вашей организации.
В чем состоит принцип работы Windows Hello?
Windows Hello позволяет сотрудникам использовать отпечатки пальцев, распознавание лиц или радужной оболочки в качестве альтернативы разблокировке устройства. В случае использования Windows Hello проверка подлинности выполняется при вводе сотрудником его/ее уникального биометрического идентификатора во время получения доступа к учетным данным Windows Hello конкретного устройства.
Функция проверки Windows Hello используется для проверки подлинности и подтверждения доступа сотрудников к корпоративной сети. Проверка подлинности не перемещается между устройствами, не предоставляется совместно с сервером и не может быть легко извлечена из устройства. Если одно устройство используют несколько сотрудников, то каждый из них будет получать доступ с помощью своих собственных биометрических данных.
Почему сотрудникам следует разрешить использовать Windows Hello?
Windows Hello имеет множество преимуществ, в том числе следующие:
Эта функция повышает уровень защиты учетных данных от кражи. Так как злоумышленник должен иметь как устройство, так и биометрические данные или ПИН-код, получить доступ без ведома сотрудника гораздо сложнее.
Сотрудники получают простой метод проверки подлинности (резервная копия с помощью ПИН-кода), который всегда у них есть, поэтому терять нечего. Проблема забытых паролей теперь не актуальна!
Поддержка Windows Hello встроена в операционную систему, поэтому вы можете добавлять дополнительные биометрические устройства и политики в рамках скоординированного развертывания или для отдельных сотрудников или групп с помощью политик поставщика услуг конфигураций групповая политика или мобильных Управление устройствами (MDM).
Дополнительные сведения о доступных групповых политиках и поставщиках служб конфигурации MDM см. в разделе Развертывание Windows Hello для бизнеса в организации.
Где хранятся данные Windows Hello?
Биометрические данные, используемые функцией Windows Hello, хранятся только на локальном устройстве. Он не перемещается и никогда не отправляется на внешние устройства или серверы. Такое разделение обеспечивает защиту от возможных атак за счет отсутствия единственной точки сбора, которая может быть скомпрометирована, в результате чего злоумышленник получит доступ к биометрическим данным. Кроме того, даже если злоумышленник действительно смог получить биометрические данные с устройства, их нельзя преобразовать обратно в необработанный биометрический образец, который может быть распознано биометрическим датчиком.
Примечание.
Каждый датчик на устройстве будет иметь собственный файл биометрической базы данных, в котором хранятся данные шаблона. Каждая база данных имеет уникальный случайный ключ, который шифруется в системе.
Данные шаблона для датчика будут зашифрованы с помощью этого ключа для каждой базы данных с помощью AES с режимом цепочки CBC. Хэш — SHA256. Некоторые датчики отпечатков пальцев могут завершить сопоставление в модуле датчика отпечатков пальцев, а не в ОС. Эти датчики будут хранить биометрические данные в модуле отпечатков пальцев, а не в файле базы данных.
Установила ли корпорация Майкрософт какие-либо требования к устройствам для использования Windows Hello?
Мы работаем с производителями устройств, чтобы обеспечить высокий уровень производительности и защиты каждого датчика и устройства на основе следующих требований:
Коэффициент ложного пропуска (FAR). Показатель, определяющий частоту предоставления решением для биометрической идентификации доступа лицам, не имеющим соответствующих полномочий. Как правило, это количество случаев на заданный объем выборки, например 1 к 100 000. Этот показатель также можно представить в виде процентного значения, например 0,001%.
Это измерение считается наиболее важным с точки зрения безопасности биометрического алгоритма.Коэффициент ложного отказа в доступе (FRR). Показатель, определяющий частоту некорректных отказов в предоставлении решением для биометрической идентификации доступа лицам, имеющим соответствующие полномочия. Обычно выражен процентным значением; сумма коэффициентов ложного пропуска и ложного отказа в допуске равна 1. Может иметь или не иметь защиту от подделывания или функцию определения живучести.
Это измерение считается наиболее важным с точки зрения безопасности биометрического алгоритма.Требования датчику для сканирования отпечатков пальцев
Чтобы разрешить сопоставление отпечатков пальцев, необходимо использовать устройства с датчиками для сканирования отпечатков и соответствующее программное обеспечение. Датчики отпечатков пальцев или датчики, использующие уникальный отпечаток пальца сотрудника в качестве альтернативного варианта входа, могут быть сенсорными датчиками (большая или небольшая область) или датчиками прокрутки.
Для каждого типа датчика применим собственный набор подробных требований, которые должны быть реализованы производителями; при этом все датчики должны обладать свойствами защиты от подделывания (обязательное требование).
Допустимый диапазон производительности для сенсорных датчиков с любым размером области сканирования
Коэффициент ложного пропуска (FAR): <0,001–0,002 %
Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %
Допустимый диапазон производительности для датчиков с поддержкой движения пальцем
Датчики распознавания лиц
Чтобы разрешить распознавание лиц, необходимо использовать устройства со специальными встроенными особенными инфракрасными датчиками (IR) и соответствующим программным обеспечением. Датчики распознавания лиц используют специальные камеры, которые видят в инфракрасном свете, позволяя им определить разницу между фотографией и живым человеком при сканировании черт лица сотрудника.
Такие датчики, как и датчики для сканирования отпечатков пальцев, должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно).
False Accept Rate (FAR): <0,001%
Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: <5 %
Эффективный действующий FRR с защитой от подделывания или определением живучести: <10 %
Примечание.
Windows Hello проверка подлинности лиц в настоящее время не поддерживает ношение маски во время регистрации или проверки подлинности. Ношение маски для регистрации является проблемой безопасности, так как другие пользователи, одетые в аналогичную маску, могут иметь возможность разблокировать ваше устройство. Группа продуктов знает об этом поведении и изучает эту тему дальше. Удалите маску, если вы носите ее при регистрации или разблокировке с Windows Hello проверки подлинности лица.
Если ваша рабочая среда не позволяет временно удалить маску, рассмотрите возможность отмены регистрации от проверки подлинности лиц и только с помощью ПИН-кода или отпечатка пальца.
Требования к датчику распознавания радужной оболочки
Чтобы использовать проверку подлинности радужной оболочки, вам потребуется HoloLens 2 устройство. Все HoloLens 2 выпуски оснащены одинаковыми датчиками. Радужной оболочки реализуется так же, как и другие технологии Windows Hello, и достигает биометрической безопасности FAR 1/100K.
- Windows Hello для бизнеса
- Принципы работы Windows Hello для бизнеса
- Управление функцией Windows Hello для бизнеса в организации
- Почему ПИН-код лучше пароля
- Подготовка пользователей к использованию Windows Hello
- Windows Hello и изменение пароля
- Ошибки Windows Hello при создании ПИН-кода
- Идентификатор события 300 — служба Windows Hello создана успешно
Службы Windows 7.
Отключаем неиспользуемые службы
Полное описание служб, а также название и отображаемое имя можно посмотреть и изменить состояние по этому пути: Пуск — Панель управления — Администрирование — Службы.
Но не все службы необходимы для нормальной работы компьютера. Ниже приводиться список служб, которые отключены или включены в моей конфигурации. Пользователь один (с правами администратора), к сети не подключен. Для выхода в Интернет я использую сотовый телефон в качестве модемного соединения.
AST Service (Nalpeiron Licensing Service) — Отключена.
BranchCache (Эта служба кэширует сетевое содержимое, полученное от кэширующих узлов локальной подсети) — Вручную.
DHCP-клиент (Регистрирует и обновляет IP-адреса и DNS-записи для этого компьютера) — Авто
DNS-клиент (Служба DNS-клиента (dnscache) кэширует имена DNS (Domain Name System) и регистрирует полное имя данного компьютера.
) — Отключено. При наличии сети — Авто
KtmRm для координатора распределенных транзакций (Координирует транзакции между MS DTC и диспетчером транзакций ядра (KTM).) — Вручную.
Microsoft .NET Framework NGEN v2.0.50727_X86 (Microsoft .NET Framework NGEN) — Вручную.
Parental Controls (Эта служба является заглушкой для функциональных возможностей службы родительского контроля Windows, которая существовала в ОС Vista.) — Вручную.
Plug-and-Play (Позволяет компьютеру распознавать изменения в установленном оборудовании и подстраиваться под них, либо не требуя вмешательства пользователя, либо сводя его к минимуму) — Авто
Quality Windows Audio Video Experience (Quality Windows Audio Video Experience (qWave) — сетевая платформа для потоковой передачи аудио и видео в домашних сетях на основе IP-протокола) — Вручную.
Remote Desktop Configuration (Remote Desktop Configuration) — Вручную.
Superfetch (Поддерживает и улучшает производительность системы.) — Авто
Windows Audio (Управление средствами работы со звуком для программ Windows.) — Авто.
Windows CardSpace (Это обеспечивает надежную возможность создания, управления и раскрытия цифровых удостоверений.) — Вручную
Windows Driver Foundation — User-mode Driver Framework (Управление хост-процессами драйверов пользовательского режима.) — Вручную.
Windows Search (Индексирование контента, кэширование свойств и результатов поиска для файлов, электронной почты и другого контента.) — Авто. Если не пользуетесь поиском на компьютере, то можно и Отключить.
WMI Performance Adapter (Provides performance library information from Windows Management Instrumentation (WMI) providers to clients on the network.
) — Вручную.
Автонастройка WWAN (Эта служба управляет мобильными широкополосными (GSM и CDMA) карточками данных и встроенными модульными адаптерами, а также подключениями и автоматической настройкой сетей.) — Вручную.
Автономные файлы (Служба автономных файлов выполняет работу по обслуживанию кэша автономных файлов, ) — Вручную.
Агент защиты сетевого доступа (Агент службы защиты доступа к сети собирает и управляет сведениями о работоспособности клиентских компьютеров в сети) — Вручную.
Агент политики IPsec (Безопасность протокола IP (IPsec) поддерживает проверку подлинности кэширующих узлов на сетевом уровне) — Вручную.
Адаптивная регулировка яркости (Предназначена для наблюдения за датчиком внешнего освещения и корректировки яркости монитора в соответствии с изменениями освещенности.
) — Вручную.
Архивация Windows (Поддержка архивации и восстановления в Windows.) — Вручную.
Биометрическая служба Windows (Биометрическая служба Windows предназначена для сбора, сравнения, обработки и хранения биометрических данных в клиентских приложениях без получения непосредственного доступа к биометрическим образцам или оборудованию) — Вручную.
Брандмауэр Windows (Брандмауэр Windows помогает предотвратить несанкционированный доступ к вашему компьютеру через Интернет или сеть.) — Отключено. Используется Брандмауэр от стороннего производителя.
Веб-клиент (Позволяет Windows-программам создавать, получать доступ и изменять файлы, хранящиеся в Интернете) — Вручную.
Виртуальный диск (Предоставление служб управления дисками, томами, файловыми системами и массивами запоминающих устройств.
) — Вручную.
Вспомогательная служба IP (Provides tunnel connectivity using IPv6 transition technologies) — Вручную.
Вторичный вход в систему (Позволяет запускать процессы от имени другого пользователя) — Вручную.
Группировка сетевых участников (Включает многосторонние взаимодействия с помощью группировки одноранговой сети.) — Вручную.
Дефрагментация диска (Предоставляет возможность дефрагментации дисков.) — Вручную. Можно оставить и Авто, задав расписание для запуска.
Диспетчер автоматических подключений удаленного доступа (Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу.) — Вручную.
Диспетчер печати (Загрузка файлов в память, чтобы напечатать позже) — Авто.
Если нет принтера, то Отключено.
Диспетчер подключений удаленного доступа (Управляет подключениями удаленного доступа и виртуальной частной сети (VPN) с данного компьютера к Интернету или другим удаленным сетям.) — Вручную.
Диспетчер сеансов диспетчера окон рабочего стола (Обеспечивает запуск и обслуживание диспетчера окон рабочего стола) — Авто.
Диспетчер удостоверения сетевых участников (Предоставляет службы идентификации для протокола однорангового разрешения имен (PNRP) и группировки одноранговой сети) — Вручную.
Диспетчер учетных данных (Обеспечивает защищенное хранение и извлечение учетных данных пользователей,) — Вручную.
Диспетчер учетных записей безопасности (Запуск этой службы служит для других служб сигналом о том, что диспетчер учетных записей безопасности (SAM) готов к приему запросов.
) — Авто.
Доступ к HID-устройствам (Обеспечивает универсальный доступ к HID-устройствам ) — Вручную.
Журнал событий Windows (Эта служба управляет событиями и журналами событий) — Авто.
Журналы и оповещения производительности (Служба журналов производительности и оповещений собирает данные с локальных и удаленных компьютеров соответственно заданным параметрам расписания, а затем записывает данные в журнал или выдает оповещение.) — Вручную.
Защита программного обеспечения (Разрешает загрузку, установку и принудительное применение цифровых лицензий для Windows и приложений Windows) — Авто.
Защитник Windows (Защита от шпионских и потенциально опасных программ) — Авто. Но все же рекомендуется использовать продукты от сторонних производителей для защиты своего компьютера от вирусов.
Изоляция ключей CNG (Служба изоляции ключей CNG размещается в процессе LSA) — Вручную.
Инструментарий управления Windows (Предоставляет общий интерфейс и объектную модель для доступа к информации об управлении операционной системой, устройствами, приложениями и службами.) — Авто.
Информация о совместимости приложений (Обработка запросов на проверку совместимости для приложений по мере их запуска) — Вручную.
Клиент групповой политики (Данная служба ответственна за применение параметров, определенных администраторами для компьютеров и пользователей через компонент групповой политики.) — Авто.
Клиент отслеживания изменившихся связей (Поддерживает связи NTFS-файлов, перемещаемых в пределах компьютера или между компьютерами в сети.) — Авто.
Координатор распределенных транзакций (Координация транзакций, охватывающих несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы.
) — Вручную.
Кэш шрифтов Windows Presentation Foundation (Оптимизирует производительность приложений Windows Presentation Foundation (WPF) путем кэширования обычно используемых данных шрифтов.) — Вручную.
Ловушка SNMP (Принимает сообщения перехвата, созданные локальными или удаленными агентами SNMP и пересылает их программам управления SNMP, запущенными на этом компьютере.) — Вручную.
Локатор удаленного вызова процедур (RPC) (В Windows 2003 и более ранних версиях Windows служба «Локатор удаленного вызова процедур (RPC)» управляла базой данных службы имен RPC.) — Вручную.
Маршрутизация и удаленный доступ (Предлагает услуги маршрутизации организациям в локальной и глобальной сетя) — Отключена.
Модули ключей IPsec для обмена ключами в Интернете и протокола IP с проверкой подлинности (Служба IKEEXT содержит модули для работы с ключами в Интернете (IKE) и по протоколу IP с проверкой подлинности (AuthIP).
) — Авто.
Модуль запуска процессов DCOM-сервера (Служба DCOMLAUNCH запускает серверы COM и DCOM в ответ на запросы активации объектов) — Авто.
Модуль поддержки NetBIOS через TCP/IP (Осуществляет поддержку NetBIOS через службу TCP/IP (NetBT) и разрешение имен NetBIOS для клиентов в сети) — Вручную.
Немедленные подключения Windows — регистратор настройки (Служба WCNCSVC содержит конфигурацию Windows Connect Now (реализация протокола WPS от Майкрософт)) — Вручную
Обнаружение SSDP (Обнаруживает сетевые устройства и службы, использующие протокол обнаружения SSDP, такие как устройства UPnP) — Вручную.
Обнаружение интерактивных служб (Включает уведомление пользователя о необходимости пользовательского ввода для интерактивных служб, которое предоставляет доступ к диалоговым окнам, созданным интерактивными службами, по мере их появления.
) — Вручную
Обозреватель компьютеров (Обслуживает список компьютеров в сети и выдает его программам по запросу) — Вручную.
Общий доступ к подключению к Интернету (ICS) (Предоставляет службы трансляции сетевых адресов, адресации, разрешения имен и службы предотвращения вторжения для домашней сети или сети небольшого офиса.) — Отключена.
Определение оборудования оболочки (Предоставляет уведомления для событий автозапуска на различных устройствах.) — Авто.
Основные службы доверенного платформенного модуля (Разрешает доступ к доверенному платформенному модулю (TPM), который предоставляет услуги криптографии на основе оборудования компонентам системы и приложениям.) — Вручную
Продолжение…
Биометрическая служба Windows (WbioSrvc) Значения по умолчанию в Windows 10
Биометрическая служба Windows предоставляет клиентским приложениям возможность собирать, сравнивать, обрабатывать и хранить биометрические данные без прямого доступа к какому-либо биометрическому оборудованию или образцам.
Служба размещается в привилегированном процессе SVCHOST.
Настройки по умолчанию
| Тип запуска: | Руководство |
| Отображаемое имя: | Биометрическая служба Windows |
| Имя службы: | WbioSrvc |
| Тип службы: | общий доступ |
| Контроль ошибок: | |
| Группа: | SmartCardGroup |
| Объект: | LocalSystem |
| Путь: | %SystemRoot%\system32\svchost.exe -k WbioSvcGroup |
| Файл: | %SystemRoot%\System32\wbiosrvc.dll |
| Ключ реестра: | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WbioSrvc |
| Права доступа: |
|
Поведение по умолчанию
Биометрическая служба Windows — это служба Win32.
В Windows 10 он запускается только в том случае, если его запускает пользователь, приложение или другая служба. Когда биометрическая служба Windows запускается, она работает как LocalSystem в общем процессе svchost.exe вместе с другими службами. Если биометрическая служба Windows не запускается, сведения об ошибке записываются в журнал событий. Затем Windows 10 запустится и уведомит пользователя о том, что служба WbioSrvc не запустилась из-за ошибки.
Зависимости
Биометрическая служба Windows не может быть запущена ни при каких условиях, если следующие службы отключены, удалены или работают неправильно:
- Диспетчер учетных данных
- Удаленный вызов процедур (RPC)
- Windows Driver Foundation — платформа драйверов пользовательского режима
Восстановить конфигурацию запуска биометрической службы Windows по умолчанию
Прежде чем приступить к этому, убедитесь, что все службы, от которых зависит биометрическая служба Windows, настроены по умолчанию и работают правильно.
См. список зависимостей выше.
1. Запустите командную строку от имени администратора.
2. Скопируйте приведенную ниже команду, вставьте ее в командное окно и нажмите ENTER:
sc config WbioSrvc start=demand
3. Закройте командное окно и перезагрузите компьютер.
Служба WbioSrvc использует файл wbiosrvc.dll , расположенный в каталоге C:\Windows\System32 . Если файл удален или поврежден, прочитайте эту статью, чтобы восстановить его исходную версию с установочного носителя Windows 10.
Что такое Windows Hello? Объяснение биометрической системы безопасности Microsoft
Функция
Windows Hello предоставляет пользователям Windows альтернативный способ входа в свои устройства и приложения с помощью отпечатка пальца, сканирования радужной оболочки глаза или распознавания лиц. Вот что делает технология, кто ее использует и какое оборудование требуется.
org/Person» itemprop=»author»>Мэтт Капко и Мэтью Финнеган
Компьютерный мир |
Майкрософт
Windows Hello — это технология на основе биометрии, которая позволяет пользователям Windows 10 (и тем, кто обновился до Windows 11) аутентифицировать безопасный доступ к своим устройствам, приложениям, онлайн-сервисам и сетям с помощью всего лишь отпечатка пальца, сканирования радужной оболочки глаза или распознавания лица. Механизм входа в систему, по сути, является альтернативой паролям и считается более удобным, безопасным и надежным методом доступа к критически важным устройствам, службам и данным, чем традиционный вход с использованием паролей.
«Windows Hello решает несколько проблем: безопасность и неудобства, — сказал Патрик Мурхед, президент и главный аналитик Moor Insights & Strategy. «Традиционные пароли небезопасны, поскольку их трудно запомнить, поэтому люди либо выбирают простые для угадывания пароли, либо записывают свои пароли».
Люди нередко используют один и тот же пароль (или его варианты) на нескольких сайтах и в разных приложениях. Windows Hello и другие функции биометрической аутентификации, такие как Apple Face ID или Touch ID, призваны предложить уникальную и более надежную альтернативу паролям, поскольку они основаны на технологии, которую сложнее взломать.
«Поскольку мы еще больше зависим от выхода в Интернет во всем в нашей жизни, мы более чем готовы покончить с паролями», — сказала Кэтрин Холдсворт, главный руководитель программы группы Windows Security.
«Пароли сложны в использовании и представляют угрозу безопасности для пользователей и организаций всех размеров…. Благодаря многофакторной аутентификации вероятность взлома учетной записи снижается на 99,9%».
Как работает Windows Hello
Windows Hello ограничивает поверхность атаки для Windows, устраняя необходимость в паролях и других методах, с помощью которых повышается вероятность кражи удостоверений.
«Windows Hello использует трехмерный структурированный свет для создания модели чьего-либо лица, а затем использует методы защиты от спуфинга, чтобы ограничить успех людей, создающих фальшивую голову или маску для подделки системы», — сказал Мурхед.
Пользователи Windows могут настроить Windows Hello в параметрах входа в настройках учетной записи. Пользователям необходимо установить сканирование лица, сканирование радужной оболочки глаза или отпечаток пальца, чтобы начать работу, но они всегда могут улучшить эти сканирования, а также добавить или удалить дополнительные отпечатки пальцев. После настройки взгляд на устройство или сканирование пальца разблокирует доступ к учетным записям Microsoft, основным приложениям и сторонним приложениям, использующим API.
Принятие спецификации FIDO означает, что партнеры Microsoft могут предоставлять ключи безопасности для дополнительного уровня защиты при входе в систему через Windows Hello.
Спецификация FIDO была разработана в 2014 году Альянсом FIDO, который сейчас включает более 250 компаний, но был основан PayPal, Lenovo, Nok Nok Labs, Validity Sensors, Infineon и Agnitio.
По данным группы, сегодня технология аутентификации FIDO доступна на сотнях устройств.
Корпорация Майкрософт также предоставила поддержку последней версии протокола безопасности FIDO2. Это позволяет пользователям получать доступ к стандартным устройствам, таким как ключи безопасности USB, которые обеспечивают дополнительный уровень защиты при входе в учетные записи Microsoft.
Кто использует Windows Hello?
Windows Hello предназначена как для предприятий, так и для обычных пользователей и завоевала популярность на обоих фронтах. Во время конференции Microsoft Ignite 2017 компания объявила, что более 37 миллионов человек уже используют Windows Hello, и более 200 компаний развернули Windows Hello для бизнеса. (По данным компании, в то время крупнейшее корпоративное развертывание за пределами ИТ-команды Microsoft включало более 25 000 пользователей.)
Эти цифры только выросли. В декабре прошлого года Microsoft назвала 2020 год «годом прорыва» для Windows Hello: по состоянию на май 2020 года число пользователей в месяц превысило 150 миллионов человек, а к концу года это число почти удвоилось.
IDG / Марк Хачман
Зачем вам Windows Hello?
Короче говоря, пароли — это мука. В наш век изобилия паролей (и человеческой забывчивости) пользователи, заботящиеся о безопасности, понимают, что отпечаток пальца, распознавание лица или сканирование радужной оболочки глаза для получения доступа к устройствам, важным учетным записям и данным, вероятно, будут более безопасным вариантом. Тем не менее, пароль «остается наиболее часто используемым механизмом входа, но также и источником разочарования для конечных пользователей», — сказал
Рауль Кастаньон, старший аналитик 451 Research, подразделения S&P Global Market Intelligence.
Корпорация Майкрософт работает с растущим числом поставщиков услуг, чтобы предоставить своим пользователям более простой метод проверки подлинности нескольких важных учетных записей с помощью Windows Hello. Все приложения Microsoft Office поддерживают Windows Hello, а также сторонние инструменты, такие как Dropbox.
Windows Hello также была интегрирована в Google Chrome, что позволяет проводить аутентификацию платежей при использовании браузера в Windows.
Каковы требования к оборудованию?
Windows Hello имеет относительно низкий барьер для входа, но предъявляет определенные требования к оборудованию. Microsoft Surface Pro, Surface Book и большинство ПК с Windows 10, оснащенных сканерами отпечатков пальцев или камерами, которые могут захватывать двумерную инфракрасную спектроскопию, совместимы с Windows Hello.
Корпорация Майкрософт также работает с производителями устройств, чтобы поддерживать стабильную производительность и безопасность для всех пользователей Windows Hello, а также устанавливает высокоуровневые эталонные тесты и эталонные проекты для установления базовых требований. По данным Microsoft, допустимый диапазон производительности для датчиков отпечатков пальцев составляет менее 0,002%, а для датчиков распознавания лиц — менее 0,001%. Это соответствует 1 из 100 000 для отпечатков пальцев и вдвое меньше для распознавания лиц. (Для сравнения, Apple говорит, что шансы обмануть свой Face ID составляют 1 к 1 миллиону, а шансы обмануть Touch ID — 1 к 50 000.
)
Кроме того, доля ложных отказов для сканеров отпечатков пальцев и распознавания лиц без защиты от спуфинга или определения живости должна быть ниже 5%. Согласно рекомендациям Microsoft, процент ложных отказов для сканеров отпечатков пальцев и распознавания лиц с технологией защиты от спуфинга не должен превышать 10%.
Для тех, кто не знаком с этой технологией, обнаружение живучести делает то, на что это похоже: оно определяет, что пользователь является живым существом, прежде чем разблокировать устройство или приложение. Все датчики должны включать меры защиты от спуфинга, такие как определение живости, но конфигурация этих функций защиты от спуфинга не является обязательной и зависит от разных систем.
Чем Windows Hello отличается от Face ID?
Windows Hello не имеет прямых конкурентов из-за своей эксклюзивности для устройств с Windows 10, но сталкивается с косвенной конкуренцией со стороны таких компаний, как Apple, Samsung, Google и других, которые предоставляют аналогичные технологии для своих устройств и связанных с ними экосистем.
Apple Face ID теперь используется на большинстве iPhone и iPad. (На планшетах работает даже в ландшафтном режиме.)
Dropbox
Сторонние приложения, такие как Dropbox, обновили свои приложения с поддержкой Face ID.
«Windows Hello очень похожа на Apple Face ID и биометрию Google Android, — сказал Кастаньон. «Все три обеспечивают биометрическую аутентификацию на устройстве; это означает, что данные о лице или отпечатках пальцев зашифрованы и хранятся на устройстве, а не на сервере, который можно взломать и, следовательно, по своей сути небезопасен.
Популярность биометрической аутентификации Apple, вероятно, способствовала ее внедрению, привлекая внимание к преимуществам этой технологии.
«Учитывая простоту использования и тот факт, что Apple Face ID — вероятно, самая известная аутентификация по лицу — сделала этот механизм широко известным потребителям в целом, мы можем ожидать, что аутентификация по лицу и отпечатку пальца на устройстве будет продолжать набирать популярность.
тяга, — сказал Кастаньон.
По словам Мурхеда, Apple Face ID и сканеры отпечатков пальцев являются наиболее очевидными конкурентами Windows Hello, хотя, по его опыту, Windows лучше работает в условиях низкой освещенности. «Face ID работает с очками, Windows Hello — нет…. Windows Hello хорошо работает в темноте. Идентификатор лица не так уж и много», — сказал он. «Ни Windows Hello, ни Face ID не работают хорошо при очень ярком освещении, но сканеры отпечатков пальцев работают и при ярком свете, и в темноте».
Что дальше для Windows Hello на предприятии?
Несмотря на то, что предприятия выиграют от улучшенного пользовательского интерфейса и улучшений, следует отметить, что Windows — это всего лишь один уровень защиты на уровне устройства.
«Это означает, что его следует рассматривать как дополнение, а не как замену других механизмов безопасности, которые развертывают предприятия (например, на уровне приложений), таких как поведенческая биометрия на основе ИИ», — сказал Кастаньон.