La biometria di Windows Hello in ambiente aziendale

Si applica a:

  • Windows 10
  • Windows 11

Windows Hello consente di rafforzare l'autenticazione e prevenire potenziali attacchi di spoofing tramite il riconoscimento facciale o delle impronte digitali.

Nota

Nella prima versione rilasciata di Windows10, il sistema includeva Microsoft Passport e Windows Hello e i due sistemi interagivano per offrire l'autenticazione a più fattori. Per semplificare la distribuzione e agevolare il supporto, Microsoft ha riunito queste tecnologie in un'unica soluzione sotto il nome Windows Hello. I clienti che hanno già distribuito queste tecnologie non noteranno alcuna variazione a livello funzionale. I clienti che devono ancora valutare Windows Hello troveranno più semplice la distribuzione di questa soluzione, grazie a criteri, documentazione e semantica semplificati.

Poiché ci rendiamo conto che i dipendenti vorranno usare questa nuova tecnologia nell'azienda, abbiamo lavorato attivamente con i produttori di dispositivi per creare rigorosi consigli sulla progettazione e sulle prestazioni che consentono di garantire una maggiore sicurezza nell'introduzione della biometria Windows Hello nell'organizzazione.

Come funziona Windows Hello?

Windows Hello consente ai dipendenti di usare il riconoscimento facciale o delle impronte digitali come metodo alternativo per sbloccare un dispositivo. Con Windows Hello, l'autenticazione avviene quando il dipendente fornisce il suo identificatore biometrico univoco per accedere alle credenziali di Windows Hello specifiche del dispositivo.

L'autenticatore di Windows Hello viene usato per autenticare e consentire l'accesso dei dipendenti alla rete aziendale. L'autenticazione non viene estratta tra dispositivi, non viene condivisa con un server e non può essere facilmente estratta da un dispositivo. Se più dipendenti condividono un dispositivo, ogni dipendente userà i propri dati biometrici sul dispositivo.

Perché dovrei consentire ai miei dipendenti di usare Windows Hello?

Windows Hello offre numerosi vantaggi, ad esempio:

  • Consente di rafforzare le protezioni contro il furto delle credenziali. Poiché un utente malintenzionato deve avere sia il dispositivo che le informazioni biometriche o il PIN, è molto più difficile ottenere l'accesso senza che il dipendente ne sia a conoscenza.

  • I dipendenti ottengono un metodo di autenticazione semplice (backup con un PIN) che è sempre con loro, quindi non c'è nulla da perdere. Non ci sarà più il rischio di dimenticare le password!

  • Il supporto per Windows Hello è integrato nel sistema operativo. In questo modo puoi aggiungere ulteriori dispositivi e criteri biometrici come parte di un'implementazione coordinata o a singoli dipendenti o gruppi usando i Criteri di gruppo o i criteri dei provider di servizi di configurazione della Gestione di dispositivi mobili.
    Per altre informazioni sui Criteri di gruppo o sui criteri dei provider di servizi di configurazione della Gestione di dispositivi mobili, fai riferimento all'argomento Implementare Windows Hello for Business nell'organizzazione.

Dove vengono Windows Hello archiviati i dati?

I dati biometrici usati per il supporto di Windows Hello vengono archiviati solo nel dispositivo locale. Il roaming non viene mai inviato a dispositivi o server esterni. Questa separazione consente di bloccare potenziali autori di attacchi perché non fornisce un singolo punto di raccolta potenzialmente esposto agli attacchi per il furto dei dati biometrici. Inoltre, anche se un utente malintenzionato è stato effettivamente in grado di ottenere i dati biometrici da un dispositivo, non può essere convertito di nuovo in un campione biometrico non elaborato che potrebbe essere riconosciuto dal sensore biometrico.

Nota

Ogni sensore in un dispositivo avrà un proprio file di database biometrico in cui sono archiviati i dati del modello. Ogni database dispone di una chiave univoca generata in modo casuale crittografata nel sistema. I dati del modello per il sensore verranno crittografati con questa chiave per database usando AES con la modalità di concatenamento CBC. L'hash è SHA256. Alcuni sensori di impronta digitale hanno la possibilità di completare la corrispondenza nel modulo del sensore di impronta digitale invece che nel sistema operativo. Questi sensori archivieranno i dati biometrici nel modulo delle impronte digitali anziché nel file di database.

Microsoft ha stabilito dei requisiti dispositivo per Windows Hello?

Abbiamo lavorato con i produttori di dispositivi per garantire un livello elevato di prestazioni e protezione da ogni sensore e dispositivo, in base a questi requisiti:

  • False Accept Rate (FAR). Rappresenta l'istanza per cui una soluzione di identificazione biometrica verifica un utente autorizzato. In genere è rappresentata da un rapporto del numero di istanze in una determinata dimensione della popolazione, ad esempio 1 su 100.000. Può anche essere rappresentata come una percentuale delle occorrenze, ad esempio 0,001%. Questa misurazione è considerata la più importante per quanto riguarda la sicurezza dell'algoritmo biometrico.

  • False Reject Rate (FRR). Rappresenta le istanze per cui una soluzione di identificazione biometrica non verifica una persona autorizzata nel modo corretto. In genere è rappresentato come una percentuale. La somma del True Accept Rate e del False Reject Rate è 1. Può essere con o senza il rilevamento anti-spoofing o della vivacità.

Requisiti per il sensore delle impronte digitali

Per consentire il riconoscimento delle impronte digitali, i dispositivi devono avere i sensori per la scansione delle impronte digitali e il relativo software. I sensori di impronta digitale o i sensori che usano l'impronta digitale univoca di un dipendente come opzione di accesso alternativa possono essere sensori di tocco (area grande o piccola area) o sensori di scorrimento rapido. Ogni tipo di sensore ha i propri requisiti dettagliati che devono essere implementati dal produttore, ma tutti i sensori devono includere delle misure anti-spoofing (obbligatorie).

Intervallo di prestazioni accettabili per sensori di tocco da piccole a grandi dimensioni

  • False Accept Rate (FAR): <0,001 – 0,002%

  • False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: < 10%

Intervallo di prestazioni accettabili per i sensori di scorrimento

  • False Accept Rate (FAR): <0,002%

  • False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: < 10%

Sensori di riconoscimento facciale

Per consentire il riconoscimento facciale, nei dispositivi devono essere integrati i sensori a infrarossi e il relativo software. I sensori di riconoscimento facciale usano fotocamere speciali che vedono nella luce IR, consentendo loro di distinguere tra una foto e una persona viva durante la scansione delle caratteristiche facciali di un dipendente. Analogamente ai sensori delle impronte digitali, questi sensori devono includere delle misure anti-spoofing (obbligatorie) e un modo per configurarle (facoltativo).

  • False Accept Rate (FAR): < 0,001%

  • False Reject Rate (FRR) senza rilevamento anti-spoofing o della vivacità: < 5%

  • False Reject Rate effettivo con rilevamento anti-spoofing o della vivacità: <10%

Nota

Windows Hello'autenticazione basata sul volto non supporta attualmente l'uso di una maschera durante la registrazione o l'autenticazione. L'uso di una maschera per la registrazione è un problema di sicurezza perché altri utenti che indossano una maschera simile potrebbero essere in grado di sbloccare il dispositivo. Il gruppo di prodotti è a conoscenza di questo comportamento e sta analizzando ulteriormente questo argomento. Rimuovi una maschera se ne indossi una quando ti iscrivi o sblocchi con l Windows Hello interno. Se l'ambiente di lavoro non consente di rimuovere temporaneamente una maschera, prendere in considerazione l'annullamento della registrazione dall'autenticazione del volto e l'uso solo del PIN o dell'impronta digitale.

Argomenti correlati