Вход по отпечатку пальца на Windows 10

Здравствуйте. А Вы знали, что пароли уже не способны обеспечить максимальную безопасность хранения данных? Именно поэтому, разработчики Microsoft предлагают использовать вход по отпечатку пальца на Windows 10. Это один из самых надежных методов аутентификации, наряду со сканированием сетчатки глаза и графическим кодом. Сейчас я расскажу Вам подробнее о настройке этих возможностей.

Согласно статистике, большинство пользователей не уделяют особого внимания подбору сложных паролей для входа в систему, что становится причиной взлома и других негативных последствий. Или же, код доступа элементарно забывается. В такой ситуации лучшим вариантом станет применение:

• биометрической проверки;
• графического пароля;
• PIN-кода.

Но есть у всех этих способов один главный недостаток. К примеру, чтобы перейти к сканированию отпечатков, все равно придется сначала ввести данные учётной записи Майкрософт. Рассмотрим подробнее перечисленные выше варианты аутентификации.

Биометрическая система

Настройка выполняется следующим образом:

• Переходим в «Параметры» (этот пункт находится в меню «Пуск»).
• Далее – раздел «Учётные записи», где нужно из списка слева выбрать «Параметры входа»:

• Теперь выбираем «Отпечаток пальца» (Windows Hello). Вам предложат провести сканирование:

• Для каждого пальца нужно проделать эту операцию восемь раз, чтобы результаты были максимально достоверными. Это нужно на тот случай, если какой-то из отпечатков повредится в результате пореза и прочих действий.

Стоит отметить, что пока данная система авторизации несовершенна. Её можно легко обойти с помощью качественного муляжа. Возможно, в скором времени сканеры будут усовершенствованы.

Кроме того, к минусам можно отнести локальное хранение биометрических данных, что не исключает возможность их хищения и использования в мошеннических целях.

На тот случай, если сканирование не работает, то для входа всегда можно использовать пароль от учётной записи.

Графический ключ

Чтобы его установить, переходим в уже знакомые настройки:

• Кликаем по кнопке «Добавить» в разделе «Графический пароль». Стоит отметить, что без добавления аутентификации по коду, этот способ окажется недоступным.
• Выбираем базовое изображение, на котором с помощью мыши или сенсорного ввода начинаем рисовать геометрические фигуры (круги, линии, дуги) в определенной последовательности и с разным расположением на экране.

• Три раза нужно подтвердить свой ввод.

Вот и всё, теперь можно смело пользоваться этим способом.

Использование PIN

Наряду с применением вышеперечисленных способов защиты, этот метод может оказаться очень эффективным. Чтобы настроить вход по PIN, заходим в «Параметры». Затем выбираем «Учётные записи». Слева отобразится список вкладов. Нас интересуют «Параметры входа». Знакомое окно?

Кликаем «Добавить» в соответствующей части и вводим дважды придуманный код:

Вот и всё. Защита активирована.

В одной из статей я рассказывал о шифровании данных на дисках с помощью встроенных средств Windows. Если хотите, чтобы Ваша информация была надежно скрыта от постороннего доступа, то следует настроить авторизацию по флешке. На съемном носителе будут сохранены ключи дешифрования.

При входе в систему, нужно будет подсоединить USB носитель для получения доступа. Поверьте, такой способ наиболее надежный. А если его совместить с перечисленными выше механизмами, то даже самый «матёрый» хакер не сможет ничего сделать! Рекомендую прочесть материал о BitLocker для большего погружения в тему.

Советы по Windows 10: как настроить Windows Hello

1 November 2016 | Пресс-центр

А вы знали, что с функцией Windows Hello, авторизация на вашем устройстве на базе Windows 10 займет менее двух секунд? Биометрические сенсоры позволяют Windows Hello мгновенно распознать ваше лицо или отпечатки пальцев и разблокировать ваш девайс без ввода пароля.

Для начала проверьте, поддерживает ли ваше устройство технологию Windows Hello:

Открываем «Параметры» (можно просто нажать горячие клавиши Windows + I), затем «Учетные записи», выбираем «Параметры входа» и в самом верху страницы нам улыбнется Windows Hello.

Если опция неактивна, не огорчайтесь. Конечно, можно купить современный компьютер, но можно обойтись сканером отпечатков пальцев или внешней камерой, которые позволят воспользоваться преимуществами Windows Hello.

Как настроить Windows Hello:

Снова открываем «Параметры», затем «Учетные записи», выбираем «Параметры входа» и под заголовком Windows Hello нажимаем кнопку «Настройка». Введите PIN по запросу системы или создайте новый, если вы это еще не сделали. Этот код может понадобиться в качестве альтернативного варианта авторизации.

Чтобы научить Windows узнавать ваше лицо, нужно будет просто смотреть в экран. Для настройки сканера отпечатков, приложите палец к сенсору. Здесь же вы сможете в любое время улучшить распознавание лица или добавить дополнительные отпечатки.

Как настроить несколько учетных записей:

Заходим в «Параметры», потом в разделе «Учетные записи» выбираем пункт «Семья и другие люди». Здесь вы найдете опции «Добавить члена семьи» и «Добавить пользователя для этого компьютера». Достаточно ввести адрес электронной почты для выбранного аккаунта Microsoft.

Выйдите из системы и попросите войти другого пользователя. После авторизации он сможет настроить свою учетную запись, в том числе и параметры Windows Hello.

Хотите узнать больше – почитайте о Windows Hello и о том, как Windows Hello защищает конфиденциальность. Удачи!

Примечание. 1) Обращаем внимание, что для Windows Hello требуется специальное оборудование, например, сканер отпечатков пальцев, инфракрасный сенсор или другой биометрический сенсор и совместимое устройство. 2) С Windows Hello от обнаружения лица или отпечатка до успешной авторизации проходит менее двух секунд, что короче средней продолжительности ввода пароля.

Биометрия Windows Hello на предприятии Windows Hello biometrics in the enterprise

Относится к: Applies to:

Windows Hello — это функция биометрической проверки подлинности, повышающая ее надежность и обеспечивающая защиту от возможного спуфинга благодаря сопоставлению отпечатков пальцев и распознаванию лиц. Windows Hello is the biometric authentication feature that helps strengthen authentication and helps to guard against potential spoofing through fingerprint matching and facial recognition.

В первых выпусках Windows 10 предоставлялись службы Microsoft Passport и Windows Hello, которые вместе обеспечивали многофакторную проверку подлинности. When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. Чтобы упростить развертывание и расширить возможности поддержки, Microsoft объединила эти технологии в единое решение — Windows Hello. To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. Пользователи, которые уже выполнили развертывание этих технологий, не заметят никаких изменений в функционировании этих служб. Customers who have already deployed these technologies will not experience any change in functionality. Для тех клиентов, которым еще предстоит оценить работу Windows Hello, выполнить развертывание будет гораздо проще благодаря упрощенным политикам, документации и семантике. Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.

Так как мы понимаем, что ваши сотрудники хотят использовать эту новую технологию на вашем предприятии, мы активно работаем с производителями устройств, чтобы создать строгие рекомендации по проектированию и производительности, которые помогут вам более точно представить биометрию Windows Hello в вашей организации. Because we realize your employees are going to want to use this new technology in your enterprise, we’ve been actively working with the device manufacturers to create strict design and performance recommendations that help to ensure that you can more confidently introduce Windows Hello biometrics into your organization.

В чем состоит принцип работы Windows Hello? How does Windows Hello work?

Windows Hello позволяет сотрудникам использовать в качестве альтернативного способа разблокировки устройства отпечатки пальцев или распознавание лиц. Windows Hello lets your employees use fingerprint or facial recognition as an alternative method to unlocking a device. В случае использования Windows Hello проверка подлинности выполняется при вводе сотрудником его/ее уникального биометрического идентификатора во время получения доступа к учетным данным Windows Hello конкретного устройства. With Windows Hello, authentication happens when the employee provides his or her unique biometric identifier while accessing the device-specific Windows Hello credentials.

Функция проверки Windows Hello используется для проверки подлинности и подтверждения доступа сотрудников к корпоративной сети. The Windows Hello authenticator works to authenticate and allow employees onto your enterprise network. Проверка подлинности не перемещается между устройствами, не совместно с сервером и не может быть легко извлечена с устройства. Authentication doesn’t roam among devices, isn’t shared with a server, and can’t easily be extracted from a device. Если одно устройство используют несколько сотрудников, то каждый из них будет получать доступ с помощью своих собственных биометрических данных. If multiple employees share a device, each employee will use his or her own biometric data on the device.

Почему сотрудникам следует разрешить использовать Windows Hello? Why should I let my employees use Windows Hello?

Windows Hello имеет множество преимуществ, в том числе следующие: Windows Hello provides many benefits, including:

Эта функция повышает уровень защиты учетных данных от кражи. It helps to strengthen your protections against credential theft. Так как злоумышленник должен иметь как устройство, так и биометрические данные или PIN-код, получить доступ без ведома сотрудника намного сложнее. Because an attacker must have both the device and the biometric info or PIN, it’s much more difficult to gain access without the employee’s knowledge.

Сотрудники получают простой метод проверки подлинности (с помощью PIN-кода), который всегда с ними, поэтому ничего не теряется. Employees get a simple authentication method (backed up with a PIN) that’s always with them, so there’s nothing to lose. Проблема забытых паролей теперь не актуальна! No more forgetting passwords!

Поддержка Windows Hello встроена в операционную систему, поэтому добавлять дополнительные биометрические устройства и политики в рамках скоординированного выпуска или для отдельных сотрудников или групп можно с использованием групповой политики или поставщика служб конфигурации (CSP) управления мобильными устройствами (MDM). Support for Windows Hello is built into the operating system so you can add additional biometric devices and polices as part of a coordinated rollout or to individual employees or groups using Group Policy or Mobile Device Management (MDM) configurations service provider (CSP) policies.
Дополнительные сведения о доступных групповых политиках и поставщиках служб конфигурации MDM см. в разделе Развертывание Windows Hello для бизнеса в организации. For more info about the available Group Policies and MDM CSPs, see the Implement Windows Hello for Business in your organization topic.

Где хранятся данные Windows Hello? Where is Windows Hello data stored?

Биометрические данные, используемые функцией Windows Hello, хранятся только на локальном устройстве. The biometric data used to support Windows Hello is stored on the local device only. Он не перемещается и никогда не отправляется на внешние устройства или серверы. It doesn’t roam and is never sent to external devices or servers. Такое разделение обеспечивает защиту от возможных атак за счет отсутствия единственной точки сбора, которая может быть скомпрометирована, в результате чего злоумышленник получит доступ к биометрическим данным. This separation helps to stop potential attackers by providing no single collection point that an attacker could potentially compromise to steal biometric data. Кроме того, даже если злоумышленнику удалось получить биометрические данные с устройства, его нельзя преобразовать обратно в необработанные биометрические данные, которые могут распознаться биометрическим датчиком. Additionally, even if an attacker was actually able to get the biometric data from a device, it cannot be converted back into a raw biometric sample that could be recognized by the biometric sensor.

Каждый датчик на устройстве будет иметь собственный биометрический файл базы данных, в котором хранятся данные шаблона. Each sensor on a device will have its own biometric database file where template data is stored. Каждая база данных имеет уникальный, случайным образом созданный ключ, который шифруется в системе. Each database has a unique, randomly generated key that is encrypted to the system. Данные шаблона для датчика шифруются с помощью этого ключа для базы данных с помощью AES в режиме цепочки CBC. The template data for the sensor will be encrypted with this per-database key using AES with CBC chaining mode. Это sha256. The hash is SHA256. Некоторые датчики отпечатков пальцев могут выполнить соответствие в модуле датчика отпечатков пальцев, а не в ОС. Some fingerprint sensors have the capability to complete matching on the fingerprint sensor module instead of in the OS. Эти датчики будут хранить биометрические данные в модуле отпечатков пальцев, а не в файле базы данных. These sensors will store biometric data on the fingerprint module instead of in the database file.

Установила ли корпорация Майкрософт какие-либо требования к устройствам для использования Windows Hello? Has Microsoft set any device requirements for Windows Hello?

Мы работаем с производителями устройств, чтобы обеспечить высокий уровень производительности и защиты каждого датчика и устройства на основе указанных ниже требований. We’ve been working with the device manufacturers to help ensure a high-level of performance and protection is met by each sensor and device, based on these requirements:

Коэффициент ложного пропуска (FAR). False Accept Rate (FAR). Показатель, определяющий частоту предоставления решением для биометрической идентификации доступа лицам, не имеющим соответствующих полномочий. Represents the instance a biometric identification solution verifies an unauthorized person. Как правило, это количество случаев на заданный объем выборки, например 1 к 100 000. This is normally represented as a ratio of number of instances in a given population size, for example 1 in 100 000. Этот показатель также можно представить в виде процентного значения, например 0,001%. This can also be represented as a percentage of occurrence, for example, 0.001%. Этот показатель считается наиболее важным в отношении безопасности биометрического алгоритма. This measurement is heavily considered the most important with regard to the security of the biometric algorithm.

Коэффициент ложного отказа в доступе (FRR). False Reject Rate (FRR). Показатель, определяющий частоту некорректных отказов в предоставлении решением для биометрической идентификации доступа лицам, имеющим соответствующие полномочия. Represents the instances a biometric identification solution fails to verify an authorized person correctly. Обычно выражен процентным значением; сумма коэффициентов ложного пропуска и ложного отказа в допуске равна 1. Usually represented as a percentage, the sum of the True Accept Rate and False Reject Rate is 1. Может иметь или не иметь защиту от подделывания или функцию определения живучести. Can be with or without anti-spoofing or liveness detection.

Требования датчику для сканирования отпечатков пальцев Fingerprint sensor requirements

Чтобы разрешить сопоставление отпечатков пальцев, необходимо использовать устройства с датчиками для сканирования отпечатков и соответствующее программное обеспечение. To allow fingerprint matching, you must have devices with fingerprint sensors and software. Датчики отпечатков пальцев или датчики, которые используют уникальный отпечаток пальца сотрудника в качестве альтернативного варианта входа в систему, могут быть сенсорными датчиками (большой или небольшой областью) или датчиками прокрутки. Fingerprint sensors, or sensors that use an employee’s unique fingerprint as an alternative log on option, can be touch sensors (large area or small area) or swipe sensors. Для каждого типа датчика применим собственный набор подробных требований, которые должны быть реализованы производителями; при этом все датчики должны обладать свойствами защиты от подделывания (обязательное требование). Each type of sensor has its own set of detailed requirements that must be implemented by the manufacturer, but all of the sensors must include anti-spoofing measures (required).

Допустимый диапазон производительности для сенсорных датчиков с любым размером области сканирования Acceptable performance range for small to large size touch sensors

Коэффициент ложного пропуска (FAR): False Accept Rate (FAR):

Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:

Допустимый диапазон производительности для датчиков с поддержкой движения пальцем Acceptable performance range for swipe sensors

Коэффициент ложного пропуска (FAR): False Accept Rate (FAR):

Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:

Датчики распознавания лиц Facial recognition sensors

Чтобы разрешить распознавание лиц, необходимо использовать устройства со специальными встроенными особенными инфракрасными датчиками (IR) и соответствующим программным обеспечением. To allow facial recognition, you must have devices with integrated special infrared (IR) sensors and software. Датчики распознавания лиц используют специальные камеры, которые видят инфракрасный свет, позволяя им отличить фотографию от живого человека при сканировании функций лица сотрудника. Facial recognition sensors use special cameras that see in IR light, letting them tell the difference between a photo and a living person while scanning an employee’s facial features. Такие датчики, как и датчики для сканирования отпечатков пальцев, должны обладать свойствами защиты от подделывания (обязательное требование) и предоставлять возможность настройки (дополнительно). These sensors, like the fingerprint sensors, must also include anti-spoofing measures (required) and a way to configure them (optional).

Коэффициент ложного принимать (FAR): False Accept Rate (FAR):

Коэффициент ложного отказа в доступе (FRR) без защиты от подделывания или определения живучести: False Reject Rate (FRR) without Anti-spoofing or liveness detection:

Эффективный действующий FRR с защитой от подделывания или определением живучести: Effective, real world FRR with Anti-spoofing or liveness detection:

Проверка подлинности с лица Windows Hello в настоящее время не поддерживает маску во время регистрации или проверки подлинности. Windows Hello face authentication does not currently support wearing a mask during enrollment or authentication. Маска для регистрации является проблемой безопасности, так как другие пользователи могут разблокировать ваше устройство. Wearing a mask to enroll is a security concern because other users wearing a similar mask may be able to unlock you device. Группа продуктов знает об этом поведении и изучает этот раздел далее. The product group is aware of this behavior and is investigating this topic further. Удалите маску, если вы носите ее при регистрации или разблокировке с помощью проверки подлинности с помощью windows Hello. Please remove a mask if you are wearing one when you enroll or unlock with Windows Hello face authentication. Если рабочая среда не позволяет временно удалить маску, рассмотрите возможность отостановки регистрации при проверке подлинности лиц и только с помощью ПИН-кода или отпечатка пальца. If your working environment doesn’t allow you to remove a mask temporarily, please consider unenrolling from face authentication and only using PIN or fingerprint.