La biometria di Windows Hello in ambiente aziendale
Windows Hello è la funzionalità di autenticazione biometrica che consente di rafforzare l'autenticazione e prevenire potenziali attacchi di spoofing tramite il riconoscimento facciale o delle impronte digitali.
Poiché sappiamo che i dipendenti vorranno usare questa nuova tecnologia in azienda, abbiamo collaborato attivamente con i produttori di dispositivi per creare dei consigli relativi alla progettazione e alle prestazioni in modo da poter introdurre la biometria di Windows Hello nelle organizzazioni.
Come funziona Windows Hello?
Windows Hello consente ai dipendenti di usare il riconoscimento facciale o delle impronte digitali come metodo alternativo per sbloccare un dispositivo. Con Windows Hello, l'autenticazione avviene quando il dipendente fornisce il suo identificatore biometrico univoco per accedere alle credenziali di Microsoft Passport specifiche del dispositivo.
L'autenticatore di Windows Hello viene usato insieme a Microsoft Passport per autenticare e consentire l'accesso dei dipendenti alla rete aziendale. L'autenticazione non viene trasferita in roaming tra i dispositivi, non è condivisa con un server e non può essere estratta facilmente da un dispositivo. Se più dipendenti condividono un dispositivo, ogni dipendente userà i propri dati biometrici sul dispositivo.
Perché dovrei consentire ai miei dipendenti di usare Windows Hello?
Windows Hello offre numerosi vantaggi, ad esempio:
In combinazione con Microsoft Passport, consente di rafforzare le protezioni contro il furto delle credenziali. Dato che l'autore dell'attacco deve ottenere sia il dispositivo che i dati biometrici o il PIN, è molto più difficile che riesca ad accedere senza che il dipendente se ne accorga.
I dipendenti hanno un metodo di autenticazione semplice (abbinato a un PIN) che è sempre a loro disposizione, così non c'è niente da perdere. Non ci sarà più il rischio di dimenticare le password!
Il supporto per Windows Hello è integrato nel sistema operativo. In questo modo puoi aggiungere ulteriori dispositivi e criteri biometrici come parte di un'implementazione coordinata o a singoli dipendenti o gruppi usando i Criteri di gruppo o i criteri dei provider di servizi di configurazione della Gestione di dispositivi mobili.
Per altri informazioni sui Criteri di gruppo o sui criteri dei provider di servizi di configurazione della Gestione di dispositivi mobili, fai riferimento all'argomento Implementare Microsoft Passport nell'organizzazione.
Dove vengono archiviati i dati di Windows Hello?
I dati biometrici usati per il supporto di Windows Hello vengono archiviati solo nel dispositivo locale. I dati non vengono trasferiti in roaming e non vengono mai inviati a dispositivi o server esterni. Questa separazione consente di bloccare potenziali autori di attacchi perché non fornisce un singolo punto di raccolta potenzialmente esposto agli attacchi per il furto dei dati biometrici. Inoltre, anche se l'autore di un attacco riesce a ottenere i dati biometrici, non potrà facilmente convertirli in una forma riconoscibile dal sensore biometrico.
Microsoft ha stabilito dei requisiti dispositivo per Windows Hello?
Abbiamo collaborato con i produttori di dispositivi per garantire un alto livello di prestazioni e protezione da parte di tutti i sensori e dispositivi in base ai requisiti seguenti:
False Accept Rate (FAR). Rappresenta l'istanza per cui una soluzione di identificazione biometrica verifica un utente autorizzato. In genere è rappresentata da un rapporto del numero di istanze in una determinata dimensione della popolazione, ad esempio 1 su 100.000. Può anche essere rappresentata come una percentuale delle occorrenze, ad esempio 0,001%. Questa misurazione è considerata la più importante per quanto riguarda la sicurezza dell'algoritmo biometrico.
False Reject Rate (FRR). Rappresenta le istanze per cui una soluzione di identificazione biometrica non verifica una persona autorizzata nel modo corretto. In genere è rappresentato come una percentuale. La somma del True Accept Rate e del False Reject Rate è 1. Può essere con o senza il rilevamento anti-spoofing o della vivacità.
Requisiti per il sensore delle impronte digitali
Per consentire il riconoscimento delle impronte digitali, i dispositivi devono avere i sensori per la scansione delle impronte digitali e il relativo software. I sensori per la scansione delle impronte digitali o i sensori che usano le impronte digitali di un dipendente come opzione di accesso alternativa, possono essere sensori di tocco (area di grandi o piccole dimensioni) o sensori di scorrimento. Ogni tipo di sensore ha i propri requisiti dettagliati che devono essere implementati dal produttore, ma tutti i sensori devono includere delle misure anti-spoofing (obbligatorie) e un modo per configurarle (facoltativo).
Intervallo di prestazioni accettabili per sensori di tocco da piccole a grandi dimensioni
False Accept Rate (FAR): < 0,001 – 0,002%
False Reject Rate (FRR) senza rilevamento anti-spoofing o della vivacità: < 5%
False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: < 10%
Intervallo di prestazioni accettabili per i sensori di scorrimento
False Accept Rate (FAR): < 0,002%
False Reject Rate (FRR) senza rilevamento anti-spoofing o della vivacità: < 5%
False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: < 10%
Sensori di riconoscimento facciale
Per consentire il riconoscimento facciale, nei dispositivi devono essere integrati i sensori a infrarossi e il relativo software. I sensori di riconoscimento facciale usano speciali fotocamere in grado di operare con luce a infrarossi, in modo da poter distinguere tra una fotografia una persona reale quando eseguono la scansione delle caratteristiche del viso del dipendente. Analogamente ai sensori delle impronte digitali, questi sensori devono includere delle misure anti-spoofing (obbligatorie) e un modo per configurarle (facoltativo).
False Accept Rate (FAR): < 0,001%
False Reject Rate (FRR) senza rilevamento anti-spoofing o della vivacità: < 5%
False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: < 10%
Argomenti correlati
Gestire la verifica dell'identità tramite Microsoft Passport
Implementare Microsoft Passport nell'organizzazione