Windows Hello 人脸身份验证

Windows 10 中的 Microsoft 面部身份验证是一种企业级身份验证机制,该机制集成到 Windows Biometric Framework (WBF) 作为称为 Windows 的核心 Microsoft Windows Hello 组件。 Windows Hello 人脸身份验证利用特别为附近的红外配置的相机 (IR) 映像来对 Windows 设备进行身份验证和解锁,并解锁你的 Microsoft Passport。

Windows Hello 面部身份验证的主要优点和功能

以下是使用 Windows Hello 人脸身份验证的主要优点:

  • 具有兼容硬件 (的所有基于 Windows 10 的设备和平台的面部识别) 接近 IR 传感器。
  • 一种用户友好界面,它提供单一签名形式的验证来解锁 Microsoft Passport。
  • Enterprise 级身份验证和访问 Microsoft Passport Pro 支持的内容,包括网络资源、网站和付款方式。
  • 能够在不同的照明条件下使用 IR) 提供一致的图像 (,同时还可以在外观上进行细微的更改,包括面部头发、面部表现等。

方案

Windows 10 中的 Windows Hello 人脸身份验证的两种主要方案是进行登录或解锁的身份验证,并重新进行身份验证以证明你仍在那里。

身份验证

类型 说明
平均持续时间 < 2秒
预期频率
频率描述 每当用户要解锁其设备或越过锁定屏幕移动时

重新身份验证

类型 说明
平均持续时间 < 2秒
预期频率
频率描述 当应用程序或网站要重新验证用户是否在其设备前面时发生

工作原理

Windows Hello 面部识别引擎由四个不同的步骤组成,它们允许 Windows 了解传感器前面的人员:

  1. 查找人脸并发现特征点

    在第一步中,该算法将检测 ’ 照相机流中的用户脸,然后查找面部路标点 (也称为对齐点) ,这对应于眼睛、鼻子、嘴等。

  2. 打印头方向

    为了确保该算法在视图中有足够的外观来做出身份验证决策,它可确保用户面临设备 +/-15 度。

  3. 表示法向量

    使用路标位置作为锚点,该算法会从人脸的不同区域获取上千个样本来构建表示法。 最基本窗体上的表示形式是一种直方图,表示各个细节点的亮和暗差异。 正面没有存储面部图像, – 只是表示形式。

  4. 决策引擎

    当传感器前面有用户表示形式后,就会将该用户与物理设备上已注册的用户进行比较。 此表示形式必须跨越计算机获知的阈值,然后算法才会将其接受为正确的匹配项。 如果在系统上注册了多个用户,则此阈值将相应增加,以帮助确保安全不会泄露。

注册

注册是为自己 (生成表示或一组表示形式的步骤。例如,如果您有一些眼镜,那么您可能需要向其中进行注册,而不能) 并将它们存储在系统中以供将来进行比较。 此表示形式的集合称为注册配置文件。 Microsoft 绝不会存储实际图像,且你的注册数据永远不会发送到网站或应用程序进行身份验证。

大多数用户可能需要在每个设备上注册一次。 用户需要额外注册:

  • 有时磨损特定类型的眼镜
  • 对面部形状或纹理的重大更改
  • 转到环境接近 IR 灯的环境 (例如,如果你将设备置于阳光外)

近红外线的优点

在 Xbox 360 上的第一个 Kinect 发布面部识别后,Microsoft 发现依赖于环境光线来提供一致的映像,提供的用户体验不佳。 用户在各种环境中生活和工作,并提供各种照明条件。 传统的颜色识别系统依赖于启用亮度、曝光或其他设置来创建可用的映像, – 所有这些都公开影响系统稳定性的项目。

与此相反,近红外图像在环境照明方案中保持一致,如下所示。

方案 集成照相机中的彩色图像 Microsoft Reference 传感器中的 IR 映像
弱视观看电视或提供 PowerPoint 演示 color image from integrated camera ir image from microsoft reference sensor - low light
坐在窗户或桌上附近时的方照明 side lighting with color image ir image from microsoft reference sensor - side lighting

使用 IR 还有助于进行欺骗,因为它有助于防止最容易访问的攻击。 例如,IR 不显示在照片中,因为它是不同的波长,如下面所示,图像不会显示在照片中或 LCD 显示屏上。

form factors

如何衡量准确性

当 Microsoft 谈论 Windows Hello 面部身份验证的准确性时,会使用三个主要度量值:误报、真正值和漏报。

术语 假正 真正 假负
说明 有时还会计算为错误接受率,这表示获取设备的物理访问权限的随机用户会被识别为你。 此数字应尽可能低。 实际的积极速率表示用户在每次定位在传感器前面时,其已注册的配置文件将正确地匹配的可能性。 此数字应较高。 表示用户与注册的配置文件不匹配的可能性。 此数字应较低。
Windows 10 算法 小于0.001% 或 1/100000 远 只有单个注册用户才能超过95% 只有单个注册用户才能超过5%

衡量度量的错误非常重要,因此 Microsoft 以两种方式对其进行分类:偏向错误 (系统错误) 和随机错误 (采样) 。

偏置错误

如果未使用代表环境的数据和使用算法的条件,则可能会发生偏向错误。 这种类型的错误可能是由不同环境条件引起的 (例如光源、与传感器的角度、距离等) ,以及在寄送设备上不代表的硬件。

随机错误

随机错误是由于使用的数据 ’ 不匹配实际使用该功能的总体多样性导致的。 例如,将注意力集中在一小部分,而不是眼镜、beards 或独特的面部功能。

外部照相机安全性

强烈建议持续运行 Windows 更新,并确保使用最新的安全更新更新系统(包括2021年7月13日发布的更新),以便在使用CVE-2021-34466中所述的 Windows Hello 相机时提高安全性。 此外,如果你想要禁止完全使用外部 Hello 相机,你可以在以下路径中添加一个可选的注册表值。
注册表路径: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon
DWORD 值: ShouldForbidExternalCameras
值:1

Windows 生物识别框架 API