La biometria di Windows Hello in ambiente aziendale

Windows Hello consente di rafforzare l'autenticazione e prevenire potenziali attacchi di spoofing tramite il riconoscimento facciale o delle impronte digitali.

Nota

Nella prima versione rilasciata di Windows10, il sistema includeva Microsoft Passport e Windows Hello e i due sistemi interagivano per offrire l'autenticazione a più fattori. Per semplificare la distribuzione e agevolare il supporto, Microsoft ha riunito queste tecnologie in un'unica soluzione sotto il nome Windows Hello. I clienti che hanno già distribuito queste tecnologie non noteranno alcuna variazione a livello funzionale. I clienti che devono ancora valutare Windows Hello troveranno più semplice la distribuzione di questa soluzione, grazie a criteri, documentazione e semantica semplificati.

Poiché ci rendiamo conto che i dipendenti vorranno usare questa nuova tecnologia nell'azienda, abbiamo collaborato attivamente con i produttori di dispositivi per creare raccomandazioni rigorose per la progettazione e le prestazioni che consentono di introdurre in modo più sicuro Windows Hello biometrica nell'organizzazione.

Come funziona Windows Hello?

Windows Hello consente ai dipendenti di usare l'impronta digitale, il riconoscimento facciale o il riconoscimento dell'iride come metodo alternativo per sbloccare un dispositivo. Con Windows Hello, l'autenticazione avviene quando il dipendente fornisce il suo identificatore biometrico univoco per accedere alle credenziali di Windows Hello specifiche del dispositivo.

L'autenticatore di Windows Hello viene usato per autenticare e consentire l'accesso dei dipendenti alla rete aziendale. L'autenticazione non viene spostata tra i dispositivi, non viene condivisa con un server e non può essere facilmente estratta da un dispositivo. Se più dipendenti condividono un dispositivo, ogni dipendente userà i propri dati biometrici sul dispositivo.

Perché dovrei consentire ai miei dipendenti di usare Windows Hello?

Windows Hello offre numerosi vantaggi, ad esempio:

  • Consente di rafforzare le protezioni contro il furto delle credenziali. Poiché un utente malintenzionato deve avere sia il dispositivo che le informazioni biometriche o il PIN, è molto più difficile ottenere l'accesso senza che il dipendente ne sia a conoscenza.

  • I dipendenti ottengono un semplice metodo di autenticazione (di cui viene eseguito il backup con un PIN) sempre con loro, quindi non c'è nulla da perdere. Non ci sarà più il rischio di dimenticare le password!

  • Il supporto per Windows Hello è integrato nel sistema operativo in modo da poter aggiungere altri dispositivi biometrici e criteri nell'ambito di un'implementazione coordinata o a singoli dipendenti o gruppi usando Criteri di gruppo o criteri del provider di servizi (CSP, Mobile Gestione dispositivi) configurations (MDM).
    Per altre informazioni sui Criteri di gruppo o sui criteri dei provider di servizi di configurazione della Gestione di dispositivi mobili, fai riferimento all'argomento Implementare Windows Hello for Business nell'organizzazione.

Dove vengono archiviati Windows Hello dati?

I dati biometrici usati per il supporto di Windows Hello vengono archiviati solo nel dispositivo locale. Non esegue il roaming e non viene mai inviato a dispositivi o server esterni. Questa separazione consente di bloccare potenziali autori di attacchi perché non fornisce un singolo punto di raccolta potenzialmente esposto agli attacchi per il furto dei dati biometrici. Inoltre, anche se un utente malintenzionato è stato effettivamente in grado di ottenere i dati biometrici da un dispositivo, non può essere riconvertito in un campione biometrico non elaborato che potrebbe essere riconosciuto dal sensore biometrico.

Nota

Ogni sensore in un dispositivo avrà un proprio file di database biometrico in cui vengono archiviati i dati del modello. Ogni database ha una chiave univoca generata in modo casuale crittografata al sistema. I dati del modello per il sensore verranno crittografati con questa chiave per database usando AES con la modalità di concatenamento CBC. L'hash è SHA256. Alcuni sensori di impronta digitale hanno la possibilità di completare la corrispondenza nel modulo del sensore di impronta digitale anziché nel sistema operativo. Questi sensori archivieranno i dati biometrici nel modulo dell'impronta digitale anziché nel file di database.

Microsoft ha stabilito dei requisiti dispositivo per Windows Hello?

Abbiamo collaborato con i produttori di dispositivi per garantire che ogni sensore e dispositivo soddisfi un livello elevato di prestazioni e protezione in base a questi requisiti:

  • False Accept Rate (FAR). Rappresenta l'istanza per cui una soluzione di identificazione biometrica verifica un utente autorizzato. In genere è rappresentata da un rapporto del numero di istanze in una determinata dimensione della popolazione, ad esempio 1 su 100.000. Può anche essere rappresentata come una percentuale delle occorrenze, ad esempio 0,001%. Questa misurazione è considerata la più importante per quanto riguarda la sicurezza dell'algoritmo biometrico.

  • False Reject Rate (FRR). Rappresenta le istanze per cui una soluzione di identificazione biometrica non verifica una persona autorizzata nel modo corretto. In genere è rappresentato come una percentuale. La somma del True Accept Rate e del False Reject Rate è 1. Può essere con o senza il rilevamento anti-spoofing o della vivacità.

Requisiti per il sensore delle impronte digitali

Per consentire il riconoscimento delle impronte digitali, i dispositivi devono avere i sensori per la scansione delle impronte digitali e il relativo software. I sensori di impronta digitale, o i sensori che usano l'impronta digitale univoca di un dipendente come opzione di accesso alternativo, possono essere sensori di tocco (area grande o piccola area) o sensori di scorrimento rapido. Ogni tipo di sensore ha i propri requisiti dettagliati che devono essere implementati dal produttore, ma tutti i sensori devono includere delle misure anti-spoofing (obbligatorie).

Intervallo di prestazioni accettabili per sensori di tocco da piccole a grandi dimensioni

  • False Accept Rate (FAR): <0,001 – 0,002%

  • False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: < 10%

Intervallo di prestazioni accettabili per i sensori di scorrimento

  • False Accept Rate (FAR): <0,002%

  • False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: < 10%

Sensori di riconoscimento facciale

Per consentire il riconoscimento facciale, nei dispositivi devono essere integrati i sensori a infrarossi e il relativo software. I sensori di riconoscimento facciale usano fotocamere speciali che vedono nella luce IR, consentendo loro di capire la differenza tra una foto e una persona vivente durante la scansione delle caratteristiche facciali di un dipendente. Analogamente ai sensori delle impronte digitali, questi sensori devono includere delle misure anti-spoofing (obbligatorie) e un modo per configurarle (facoltativo).

  • False Accept Rate (FAR): <0,001%

  • False Reject Rate (FRR) senza rilevamento anti-spoofing o della vivacità: < 5%

  • False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: <10%

Nota

Windows Hello autenticazione viso non supporta attualmente l'uso di una maschera durante la registrazione o l'autenticazione. Indossare una maschera per la registrazione è un problema di sicurezza perché altri utenti che indossano una maschera simile potrebbero essere in grado di sbloccare il dispositivo. Il gruppo di prodotti è consapevole di questo comportamento e sta analizzando ulteriormente questo argomento. Rimuovere una maschera se si indossa una maschera durante la registrazione o lo sblocco con Windows Hello autenticazione viso. Se l'ambiente di lavoro non consente di rimuovere temporaneamente una maschera, è consigliabile annullare la registrazione dall'autenticazione viso e usare solo PIN o impronta digitale.

Requisiti del sensore di riconoscimento dell'iride

Per usare l'autenticazione Iris, è necessario un dispositivo HoloLens 2. Tutte le edizioni HoloLens 2 sono dotate degli stessi sensori. Iris è implementato allo stesso modo di altre tecnologie Windows Hello e raggiunge la sicurezza biometrica FAR di 1/100K.

Argomenti correlati